De nombreuses publicités sur Internet font l’éloge de méthodes simples pour gagner de l’argent. Elles tendent à rediriger vers des lieux suspects, par exemple, un message d’une présumée mère de trois enfants qui reste à la maison, gagnant plusieurs milliers de dollars par jour, et qui dit que vous pouvez faire de même. Il existe cependant d’autres façons de gagner de l’argent facilement, qui semblent beaucoup plus plausibles.
Par exemple, certains services proposent de vous payer pour installer des applications. Les sommes d’argent reviennent à de l’argent de poche (environ 5 centimes par application), mais le travail est assez simple, par conséquent certaines personnes trouvent cela attirant. Ce type de schéma est particulièrement populaire parmi les enfants, celui d’installer 50 applications et d’obtenir 2,50$ pour acheter du matériel pour leur personnage préféré sur un jeu en ligne.
La boutique en ligne de Google Play possède quelques applications qui sont en réalité des échanges d’application. Vous téléchargez l’une d’entre elles, l’installez, voyez une liste d’applications pour lesquelles vous pouvez être payé, en téléchargez quelques-unes de la liste, les installez, y jouez quelques minutes et le tour est joué !
Ça semble plutôt banal, même légitime. En effet, plusieurs développeurs de logiciels accordent une grande importance au nombre de téléchargements d’applications, et un tel schéma augmente ce nombre, même s’il n’est pas tout à fait honnête. Pas étonnant que des développeurs soient disposés à payer pour cela. Il ne semble pas y avoir de piège, ou si ?
De l’argent facile, malware gratuit
Bien sûr qu’il y en a un, sans quoi, pourquoi nous en parlerions ? Il s’avère que, entre autres, ces échanges d’applications peuvent vous inciter à télécharger des logiciels malveillants, en particulier l’infâme cheval de Troie Ztorg. Il s’agit du cheval de Troie qui a été téléchargé 500 000 fois sur Google Play, et qui se faisait passer pour un manuel d’instructions du célèbre jeu Pokémon Go.
Le Guide de Pokémon Go n’est pas la seule application contenant Ztorg. Roman Unuche, l’expert de Kaspersky Lab qui a découvert Ztorg sur l’application, explore les applications distribuées via ces échanges depuis plusieurs mois. Il a découvert que tous les mois de nouvelles applications apparaissaient et qu’elles étaient en fait une mascarade de Ztorg.
Ce que Ztorg fait réellement
Toutes ces applications ont deux choses en commun. Premièrement, leur nombre de téléchargements augmente rapidement, des dizaines de milliers par jour. Deuxièmement, si vous regardez les avis des utilisateurs sur la boutique de Google Play, la plupart indique que les utilisateurs ont téléchargé ces applications pour de l’argent, crédit, bonus, ou similaire.
Le cheval de Troie Ztorg n’a pas changé. Après l’installation, il recueille des informations sur le système et l’appareil et les envoie au serveur de commande et contrôle (C&C). Le serveur répond avec des fichiers qui permettent au malware d’obtenir l’accès root à l’appareil, après quoi les fraudeurs ont la liberté de faire ce qu’ils veulent : montrer des publicités, télécharger d’autres chevaux de Troie, peu importe.
Ztorg se répand également via les publicités. Vous cliquez sur une bannière et téléchargez l’application, l’installez, et vous vous retrouvez infecté. C’est très simple !
Ce qui est intéressant c’est que Ztorg montre à ses victimes des publicités provenant des mêmes réseaux à travers lesquels il se répand. Les réseaux sont légitimes, plusieurs autres applications les utilisent pour se monétiser elles-mêmes. Le problème est que les experts en sécurité n’ont pas pensé qu’elles étaient des publicités malveillantes, ce qui est un point à ne pas négliger.
Les développeurs de Ztorg ont en effet caché la fonctionnalité malveillante, et ce n’est pas évident à trouver lorsqu’on étudie une application. Par exemple, Ztorg évalue son environnement et ne s’exécute pas dans une sandbox (un environnement test).
La plupart des bannières publicitaires ne redirigent pas directement vers la page de téléchargement de l’application mais à la place redirigent les utilisateurs vers une page qui redirige vers une autre page et ainsi de suite – tout pour le plaisir de l’offuscation (stratégie de gestion de l’information qui vise à obscurcir le sens qui peut être tiré d’un message). Il peut y avoir jusqu’à 27 liens avant d’être redirigé vers le téléchargement. De plus, l’application peut retarder des téléchargements de fichiers malveillants depuis le serveur de commande et contrôle jusqu’à 90 minutes, à ce moment-là un testeur aurait probablement décidé que l’application ne faisait rien de malveillant.
En réalité, l’offuscation est ce que les applications malveillantes ont introduit dans la boutique officielle Google Play. D’autres chevaux de Troie se cachent également de cette façon (nous avions déjà parlé de ce sujet (plus d’une fois)), par conséquent, vous ne devriez pas faire confiance aveuglement à toutes les applications provenant de n’importe quelles boutiques en ligne.
La morale
Comment pouvez-vous empêcher d’être la victime de telles attaques et que les escrocs ne s’infiltrent dans votre téléphone ? Nous avons deux conseils pour vous :
- Téléchargez des applications uniquement depuis des développeurs de confiance, ou mieux, depuis des boutiques en ligne officielles. Vous pouvez toujours trouver des chevaux de Troie, mais ils sont beaucoup moins répandus sur les boutiques officielles.
- Installez une protection fiable. Par exemple, Kaspersky Internet Security for Android a longtemps été en mesure d’identifier et de neutraliser Ztorg sous n’importe quelle forme ou application. Si vous utilisez la version gratuite, vous devez vous rappeler d’effectuer une analyse de temps en temps, les analyses automatiques sont une des caractéristiques de la version payante.