Bien que nous ayons récemment trouvé 20 applications dans Google Play disant être des packs de mods pour Minecraft – le jeu le plus populaire qui a été téléchargé plus d’un million de fois – les malwares continuent d’apparaître dans Google Play. Au lieu de remplir leur fonction, les applications saturent les smartphones et les tablettes des utilisateurs et les transforment en outils publicitaires extrêmement invasifs.
En résumé, les applications étaient totalement inutiles pour l’utilisateur. Au contraire, après la première exécution, les applications ont caché leur icône et ont ouvert le navigateur plusieurs fois de suite pour afficher des publicités. Elles pouvaient également lancer des vidéos YouTube, ouvrir les sites Web des applications disponibles dans Google Play, et bien plus. La version du malware que nous avons analysée ouvrait le navigateur toutes les deux minutes, rendant le dispositif inutilisable. Cette situation est quelque peu troublante car il est très difficile pour un utilisateur de savoir ce qui se passe, quelle application est responsable et comment y mettre un terme.
Nous en avons informé Google qui a aussitôt supprimé ces applications malveillantes de sa boutique.
Applications malveillantes 2.0
La suppression de ces applications dans Google Play Store ne détruit pas le malware. Ses créateurs vont simplement créer une nouvelle version, légèrement modifiée, et utiliser un autre nom et un compte développeur différent.
C’est le cas par exemple de VK Music Trojan, qui a volé les comptes utilisateur de VK et qui, malgré de nombreux rapports, est resté dans Google Play pendant plusieurs années.
En gardant cela à l´esprit, nous avons réexaminé l’histoire sur les soi-disant packs de mods pour Minecraft présents dans Google Play afin de savoir si les rapports avaient servi à quelque chose. Nous avons donc cherché des applications similaires et en avons trouvé quelques-unes.
Nouvelles versions améliorées
Tout d’abord, nous avons trouvé plusieurs applications qui fonctionnent selon cette méthode, mais avec quelques améliorations. En général, les applications acceptent les notifications push de la part des cybercriminels pour montrer les publicités en plein écran (aucune interaction utilisateur n’est nécessaire). Les applications sont également conçues pour télécharger un module supplémentaire, ce qui permet d’avoir plus de fonctionnalités comme la possibilité de cacher les icônes, de lancer le navigateur, de lire des vidéos, d’ouvrir les liens des applications dans Google Play, etc.
Cette fois-ci, la liste des applications malveillantes contenait, en plus des mods pour Minecraft, un logiciel de récupération de données appelé File Recovery – Recover Deleted Files. La version 1.1.0, disponible dans Google Play depuis février 2021, contenait une charge utile malveillante. Cette version a été supprimée et la version 1.1.1 qui la remplace est fiable.
Versions simplifiées avec abonnement payant dans Google Play
Deuxièmement, nous avons trouvé quelques packs de mods pour Minecraft avec des fonctionnalités basiques qui affichent de temps en temps des publicités en plein écran même si l’application est fermée, mais qui ne peuvent pas cacher leur icône ou ouvrir le navigateur, ni YouTube ou Google Play. Afin de recevoir plus d’argent, il est possible de faire des achats dans l’application.
Ce qui est intéressant, c’est que l’une des applications est désormais disponible dans Play Store en tant que version basique et avec la fonctionnalité d’achats intégrés alors qu’il y a quelques mois elle reposait sur un module de téléchargement supplémentaire. Nous en avons donc conclu que les créateurs de l’application continuent d’expérimenter les différentes options pour gagner de l’argent.
Les versions qui volent les comptes Facebook
Troisièmement, nous avons trouvé plusieurs applications qui utilisent une autre fonction malveillante. Par exemple, il y a quelque temps, on trouvait dans Google Play une fausse version de l’application de réseau publicitaire Madgicx et une fausse version d’un gestionnaire de publicités pour TikTok. Dès leur installation, ces applications demandaient aux utilisateurs de renseigner les données de leur compte Facebook et s’ils le faisaient, leur compte était compromis.
Applications provenant d’autres boutiques
Enfin, un grand nombre de ces applications reste disponible dans des boutiques alternatives à Google Play même si ce dernier les a supprimées de sa boutique. Ce n’est pas surprenant car même Google, qui possède plus de ressources qu’une entreprise normale, ne peut pas toujours gérer toutes les applications de ce genre. Cependant, nous mentionnons les boutiques alternatives à Google car cela prouve qu’elles ne sont pas très fiables. Si vous les utilisez quand même pour une raison quelconque, installez au moins un antivirus fiable sur votre téléphone afin de vous protéger contre ces applications malveillantes.
Ceci étant dit, comme nous pouvons en déduire à partir de cette histoire ainsi qu’à partir des nombreux autres cas similaires de malwares qui se trouvent dans la boutique officielle Google Play Store, même si vous téléchargez vos applications uniquement à partir de Google Play, il vaut mieux avoir un antivirus sur votre smartphone.