L’année 2019 a été féconde en saletés diverses sur les machines Android. À l’instar des PC sous Windows qui ont toujours été la cible de malwares en tout genre, l’OS au petit robot vert en prend pour son grade régulièrement. Il faut dire qu’avec presque 80 % du marché des mobiles, Android est la cible idéale. Les malwares les plus terribles viennent de fichiers APK vérolés. Ces fichiers sont l’équivalent des EXE de Windows. Il suffit de les télécharger et de les installer pour se retrouver contaminé, malgré les avertissements du système. L’année dernière nous avons eu dans cette catégorie XHelper un adware qui résiste à une réinitialisation d’usine, Anubis et Ginp qui faisaient du phishing et dévalisaient les comptes bancaires ou encore CallerSpy qui prend des captures à votre insu pour voler vos identifiants.
Les malwares ne sont plus l’exclusivité des APK « sauvages »
Vous n’installez jamais d’APK « sauvage » et vous vous moquez bien de ces idiots qui installent Fortnite depuis des sites louches ? Et bien, sachez que vous n’êtes pas à l’abri sur le Google Play Store non plus ! Dernièrement c’est l’adware Soraka qui s’est retrouvé sur 104 applications ! Pas un gros chiffre sur un magasin qui compte des millions d’apps, mais cela représente quand même 4,6 millions de contaminations en 3 mois. Comment ce malware a pu sévir pendant tout ce temps sans qu’il soit détecté ? Il faut dire que Soraka se fait discret lorsqu’un antivirus est déclenché sur un appareil et il ne commence pas son œuvre dès le premier jour. L’utilisateur ne fait donc pas le rapprochement entre l’installation d’une appli sur le Store et les publicités invasives qui débarquent sans crier gare.
Mais Soraka n’est pas le seul dans cette catégorie des « nouveaux malware fourbes » car avant cela on comptait tel adware dans 12 applis, tel autre dans 42 applis, etc. Les applications les plus visées sont les jeux, mais aussi les logiciels de retouche ou de récupération de photos, des éditeurs de fond d’écran ou divers utilitaires. Mais le malware le plus tordu reste Joker qui souscrivait des abonnements « Premium » à des services à l’insu de l’utilisateur. Comment est-il possible qu’une appli vérolée se retrouve sur le magasin officiel de Google ? C’est la question que nous avons posée à notre ami et néanmoins spécialiste, Esteban…
Google Play Protect ?
Google Play Protect est un logiciel qui analyse en permanence votre appareil à la recherche d’activités louches. C’est plus de 50 milliards d’applis qui sont scannées chaque jour sur 2 milliards d’appareils… Pour savoir si Google Play Protect est activé sur votre smartphone, il suffit de vous rendre dans Paramètres>Google>Sécurité>Google Play Protect. D’ici, vous verrez les applications récemment analysées, l’état de dangerosité de votre système, mais aussi vous pourrez activer le partage d’informations avec Google pour que le Store soit mis au courant d’un problème et qu’à l’inverse vous disposiez d’alerte si d’autres utilisateurs sont inquiétés par une appli du magasin.
Interview : Esteban Mauvais, développeur iOS et Android, formateur et CTO de Clood…
Alors Esteban, toi qui connais bien le sujet, comment se retrouve-t-on avec des malwares sur le Google Play Store ? Et surtout autant d’applis contaminées par le même virus ?
Précisons d’abord qu’il est impossible qu’une appli en contamine une autre sur le Play Store. Dans le cas de Soraka, si 104 applis sont contaminées, elles ne se sont pas intercontaminées. Ça ne fonctionne pas comme une gastro.
Mais comment est-il possible que ces applis soient toutes vérolées alors ?
Il s’agit sans doute d’un repo infecté [« Repository » ou « Dépôt » en français est un stockage centralisé et organisé de données, NDLR]. Les développeurs vont chercher des outils dans un repo sans savoir que celui-ci a été contaminé et les utilisent pour créer leurs applis. Au final, l’appli est contaminée et se retrouve sur le Store.
Un repo infecté ? Pourquoi ?
Un ancien développeur qui veut semer la zizanie ou se faire une peu d’argent par exemple. C’est facile à vexer un dev’ (rire).
Oui mais Google ne contrôle pas convenablement les apps ? Que peut-on faire ?
Les mesures du Google Play Store contre les malwares ne sont pas suffisantes. Il faudrait commissionner des entreprises externes pour faire un audit, mais tant qu’il n’y aura pas un groupe d’humains pour tester les applications, il n’arriveront jamais à 100 % de réussite. C’est compliqué aussi parce qu’il faudrait que de toutes petites structures puissent mettre en place des suites Dev Ops, ce qui est coûteux en investissement humain. Seuls les « gros » ont accès à ces outils et on imagine mal autant de moyens déployés pour un clone de Candy-Crush par exemple.
3 précautions à prendre sur le Play Store
Lisez les commentaires
Si les commentaires font état de pubs incessantes ou d’activités louches, ne téléchargez pas. Au pire, vous éviterez une application avec des pubs invasives et au mieux un malware !
Regardez les permissions
Une application « lampe torche » qui veut avoir accès à vos contacts, accéder à votre position ou passer des coups de fil ? Dites non, tout simplement !
Évitez les applications « débiles »
Pourquoi télécharger un niveau à bulle ou une calculatrice alors que vous avez sans doute déjà une appli comme celle-là dans votre téléphone ? De même, évitez les applis de filtres photo, de clone de jeux et tout ce qui fait « cheap »…
