Un chercheur français de Evina a découvert une nouvelle famille de logiciels malveillants sur Android, surnommé SpyddenApp, capable de lancer 6 comportements malveillants en simultané.

Ces nouveaux malwares mobilisent toutes les options possibles pour générer des revenus — qui atterriront dans la poche des malfaiteurs — grâce à votre smartphone. Dans un rapport publié le 9 juin, le chercheur de l’entreprise Evina Maxime Ingrao a identifié une nouvelle famille de malwares, qu’il a nommée SpyddenApp. Les 24 membres de la famille, des applications frauduleuses, partagent le même code malveillant et renvoient vers la même adresse, mais elles présentent un emballage différent.

La particularité de cette famille est de lancer cinq mécanismes de génération de revenus à la fois, de la publicité à l’affiliation. Pour enfoncer le clou, elles tentent aussi de voler les identifiants Facebook et Google.

Les Google Play Store a laissé passer les malwares. // Source : Louise Audry pour Numerama.

Spécialisée dans la protection contre la fraude publicitaire, l’entreprise française Evina est confrontée à ce genre de malware à la recherche d’argent, majoritaire sur Android, qui ne se préoccupe que rarement des données personnelles ou des messages. À la place, ils vont utiliser le smartphone de la victime pour faire tourner des publicités, beaucoup de publicités, et récolter les revenus.

Podomètre et lampe torche malveillants

Les SpydenApp découverts par Ingrao se cachent dans des apps avec des fonctionnalités basiques : des lampes torches, des banques de fonds d’écrans ou encore des podomètres. Malgré leur trivialité, la vingtaine d’app a été téléchargée plus de 2,6 millions de fois, et 16 d’entre elles étaient encore présentes sur le Google Play Store quand l’entreprise les a identifiées. « Je pense qu’elles sont toutes passées dans le Play Store au moins une fois, mais que certaines ont eu des commentaires plus mauvais qui ont attiré l’attention », avance Maxime Ingrao, interrogé par Numerama. Il salue cependant la réactivité de Google, qui a retiré les apps 2 jours après son avertissement.

Dans le détail, le malware pouvait :

  • Afficher des publicités : le malware va permettre d’afficher des publicités sur le téléphone, même lorsque celui-ci est en veille. Les hackers pourront récolter les revenus de ces affichages.
  • Faire des fausses vues sur YouTube : si l’app est ouverte, le malware va pouvoir lancer une vidéo précise, monétisée sur un compte contrôlé par les hackers.
  • Profiter de l’affiliation sur Google Search  : lorsque la victime veut lancer une recherche, le malware va générer une adresse Google Search particulière. Si les utilisateurs cliquent sur des liens sponsorisés en étant sur cette session, les malfaiteurs récupèreront un pécule.
  • Tirer profit des achats de la victime sur Amazon et eBay  : si les applications sont ouvertes sur le smartphone, le logiciel malveillant va créer des liens affiliés aux hackers. Si la victime utilise l’app pour faire des transactions, une partie du montant sera donnée aux hackers par la plateforme d’e-commerce.
  • Voler les identifiants Google et Facebook  : si la cible des hackers a les apps de ces deux services, le malware pourra exécuter un Javascript capable de reproduire les identifiants tapés par l’utilisateur.
  • Installer automatiquement d’autres apps de la même famille  : une fois que le logiciel malveillant a la main sur les identifiants Google de la victime, il va pouvoir les exploiter pour télécharger d’autres app de la même famille sur le smartphone, tout en les cachant à la vue de l’utilisateur. Une façon pour les hackers de multiplier leurs revenus.

« Pour une seule application, c’est un nombre de fonctionnalités différentes que je n’ai jamais vu », précise le chercheur, avant d’ajouter,  «  sur le code, j’ai pu observer que le malware cherchait déjà à exploiter d’autres apps installées sur le smartphone. »

Mi-adware, mi-spyware

Si le malware peut lancer autant de comportements malveillants, c’est parce qu’il obtient la permission de voir quelle app est ouverte sur le téléphone, ainsi que celle d’ouvrir des fenêtres de navigateurs. Et bien sûr, les hackers parviennent à s’octroyer ces droits sans que l’utilisateur ait à donner son autorisation. « Ce n’est pas évident pour la sécurité de Google de détecter ces deux permissions, et de les identifier comme malveillantes », rappelle Ingrao.

Les Adwares, qui génèrent des revenus publicitaires grâce à l’exploitation sur smartphone de la victime, passent régulièrement entre les mailles du filet. Mais le fait que l’app puisse voler les identifiants la qualifie de spyware, et lui donne un niveau de dangerosité plus élevé, qui pourrait attirer une attention particulière.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux