Un malware téléchargé 1 millions de fois sur… Google Play !

Nov 14, 2017
Vote on Hacker News

malware-telecharge-google-play

Voilà une publicité dont aurait pu se passer Google : une application, se faisant passer pour une mise à jour de WhatsApp, est resté disponible sur Play suffisamment longtemps pour être téléchargée plus d’un millions de fois. Seul problème : l’appli était en réalité un malware publicitaire, passé entre les mailles du filet du contrôle à l’entrée de Google Play. Un filet aux mailles un peu trop larges ? On est tenté de le croire…

En terme de sécurité, la mauvaise réputation du Play Store d’Android n’est pas prête de disparaître. Malgré de louables efforts de Google pour améliorer son outil, scams et malwares continuent d’y proliférer. Pendant ce temps, l’Apple Store continue d’afficher un niveau de sécurité au plus haut.

Une technique de contrôle du Play Store qui laisse à désirer

Le nombre d’applications disponibles sur les deux « magasins » peut expliquer cette différence, mais le fait que les applications soient vérifiées une par une par Apple est sans doute déterminant. Google, à l’inverse, fait confiance à des algorithmes qui scannent le Play Store en permanence et détectent les mauvaises pousses présentes.

Mais cette méthode continue de laisser passer un nombre conséquent de moutons noirs. Dernier en date : une application qui se faisait habilement passer pour une mise à jour de WhatsApp. Nommée Update WhatsApp Messenger, elle était disponible sur le Play Store, et présentée comme publiée par… WhatsApp Inc., la vraie maison éditrice de WhatsApp ! Un faux espace inséré avant le point par les pirates ont suffi à berner Google, les utilisateurs du Play Store et les fameux algorithmes détecteurs de malware…

Une application qui diffuse de la publicité sur Internet

Si bien que l’application a été téléchargée un millions de fois avant que le pot au rose ne soit découvert. Les utilisateurs l’ayant installé ont ainsi fait tourner sur leurs smartphones une application qui se connectait sur Internet pour diffuser de la publicité.

Mieux (ou pire) : l’application installait également un clone d’elle-même, sans nom affiché et avec une icône transparente, afin de rester sur le smartphone contaminé même après la désinstallation du malware originel.