L’App Store d’Android infecté

Un programme malveillant infecte l’App Store APKPure et installe des chevaux de Troie sur les appareils Android.

Nous recommandons toujours de ne télécharger les applications qu’à partir des boutiques officielles afin de réduire le risque d’installer un logiciel malveillant par accident. Non seulement les boutiques non officielles contiennent des applications malveillantes, mais il est aussi très probable qu’elles soient dangereuses. D’après une enquête menée récemment, nous avons le regret de vous annoncer qu’APKPure, un magasin alternatif d’applications pour Android, a été infecté par un cheval de Troie et en a installé d’autres.

À quoi sert APKPure ?

L’App Store officiel Android est bien entendu Google Play, mais il n’est disponible que sur les appareils qui utilisent les services Google Mobile (GMS) et qui sont fermement liés à l’infrastructure de Google. Certains vendeurs évitent les bibliothèques GMS afin de rester indépendants, ce qui est possible car Android est un système d’exploitation libre.

Pour les utilisateurs, cela présente à la fois des avantages et des inconvénients. L’un des plus gros inconvénients est la perte d’accès au Play Store de Google, où les utilisateurs d’Android peuvent télécharger les applications.

C’est ici qu’interviennent les boutiques alternatives, dont APKPure. À la différence que ce dernier ne propose que des applications freeware (libre) ou shareware (partagiciel). De plus, les créateurs assurent que les applications disponibles dans la boutique ont toutes été scannées par Google et qu’elles sont toutes sans danger. Selon eux, leurs applications son exactement les mêmes que celles que l’on trouve dans Google Play.

Que s’est-il passé avec APKPure ?

Les applications du magasin ont peut-être passé les tests, mais APKPure non. Cet incident rappelle l’histoire avec CamScanner, une application dont les développeurs ont installé un SDK publicitaire à partir d’une source non vérifiée et qui s’est avérée être malveillante. Le malware s’est inséré dans APKPure de la même façon.

Il semblerait que la version 3.17.18 d’APKPure avait elle aussi un SDK publicitaire avec un Trojan dropper intégré que les solutions de sécurité de Kaspersky détectent comme HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Lorsqu’il est activé, il installe et exécute une charge utile, qui est la partie la plus dangereuse. Cette dernière peut faire beaucoup de choses : afficher des publicités lorsque l’écran est verrouillé, ouvrir des onglets de navigation, collecter des informations à propos de l’appareil, et le plus désagréable, installer un autre malware.

Qu’arrive-t-il à un appareil qui possède APKPure ?

Le type de cheval de Troie (en plus de celui intégré dans APKPure) qui est téléchargé dépend de la version Android ainsi que de la fréquence à laquelle le vendeur du smartphone propose des mises à jour de sécurité et à quelle fréquence l’utilisateur les installe.

Si ce dernier possède une version assez récente du système d’exploitation, c’est-à-dire Android 8 ou une plus récente qui ne distribue pas des autorisations root à tout bout de champ, alors des modules supplémentaires sont téléchargés pour le cheval de Troie Triada. Ces derniers peuvent, entre autres, acheter un abonnement premium et télécharger des malwares.

Si l’appareil est plus ancien, sous Android 6 ou 7, et que les mises à jour de sécurité (parfois indisponibles) n’ont pas été installées, il devient alors plus facile à rooter et il peut s’agir du xHelper Trojan. Supprimer ce monstre est un véritable défi car même une réinitialisation d’usine n’y changera rien. Disposant d’un accès root, xHelper permet aux cybercriminels de faire tout ce qu’ils veulent.

APKPure est-il désormais sans danger ?

Le 8 avril, nous avons informé APKPure du problème. Le 9 avril, les représentants de l’App Store ont répondu qu’ils étaient au courant et qu’ils travaillaient sur un correctif. Peu après, le site d’APKPure affichait une nouvelle version (3.17.19). Selon leur commentaire, la mise à jour « a corrigé un problème de sécurité potentiel, rendant l’utilisation d’APKPure plus sûre ».

En effet, nous pouvons confirmer que le problème a été réglé : la nouvelle version d’APKPure 3.17.19 est exempte de ce module malveillant. L’utilisation est sans danger.

Comment éviter les chevaux de Troie dans APKPure

Si vous n’utilisez pas APKPure, inutile de vous inquiéter : ce problème ne vous concerne pas. Mais pour éviter ce genre de problèmes dans le futur :

Si vous utilisez APKPure, nous vous recommandons en plus de :

  • Mettre à jour l’application APKPure vers la version corrigée (c’est-à-dire 3.17.19 ou plus récente) ;
  • Faire une analyse antivirus complète de votre appareil.

Conseils