L’éditeur de logiciels et d’applications d’antivirus Avast a expliqué dans un billet de blog comment une application malveillante a réussi à installer des adwares sur des millions de smartphones Android. Les applications ont été retirées du Play Store, mais la méthode utilisée par les escrocs est particulièrement intéressante et très efficace.

android-virus

Filip Chytry, l’un des ingénieurs d’Avast a expliqué dans un billet de blog comment une application en apparence complètement inoffensive s’est révélée être en réalité un adware. Tout commence avec l’installation d’un banal jeu de cartes, intitulé Durak. L’application fonctionne parfaitement dès son installation et répond parfaitement à la description donnée sur sa fiche du Play Store : il s’agit d’un jeu de cartes gratuit, comme il en existe des milliers sur le Play Store. Mais passé quelques jours et un redémarrage du téléphone, le smartphone de l’utilisateur commence à adopter un comportement curieux. Très vite, le téléphone va afficher des pages de publicité dès le déblocage de l’écran de verrouillage. Des pages de pubs qui indiquent à l’utilisateur que son smartphone est infecté ou bourré de contenu pornographique. Des affirmations complètement fausses. Ces pages de pubs invitent alors l’utilisateur à télécharger des applications douteuses pour corriger cette infection. Des applications qui s’avèrent en fait être des applications de collectes de données, de faux antivirus payant, qui envoient des SMS surtaxés et même parfois vers de véritables antivirus…

durak adware

Lien Youtube
Chaine Youtube FrAndroid

Le comportement de l’adware en question

L’ingénieur d’Avast explique que cette infection du smartphone est particulièrement maline de la part de ses concepteurs. En effet, comment un utilisateur peut savoir d’où provient l’infection quand cela fait plusieurs jours que l’application malicieuse est installée et qu’elle fonctionne a priori correctement ? Filip Chytry précise également que plusieurs applications très différentes (une de test de QI, une autre d’histoire) embarquaient cet adware et que certaines pouvaient attendre un mois avant de commencer à afficher des pages de pub sur le smartphone. Le plus inquiétant reste toutefois l’audience de ces applications. Durak, pour ne prendre que cette application, affichait en effet un nombre de téléchargements compris entre 5 et 10 millions. Google a depuis rapidement retiré toutes les applications pointées par Avast du Play Store. Cette méthode d’infection est d’autant plus maline qu’elle est pratiquement indétectable, même par un utilisateur confirmé. Il est possible que les permissions demandées par l’application ne soient pas particulièrement abusives et surtout, le nombre important de téléchargements – généralement un bon indicateur de la fiabilité d’une application – a berné la confiance des utilisateurs. Une faille dans le système qui ne possède vraisemblablement pas de solution simple pour être colmatée.

Sur le sujet : Pourquoi vous devez *absolument* vérifier vos permissions avant d’installer une application