Passer au contenu

Des portes dérobées découvertes sur de nombreuses applications du Play Store

Google a fait le ménage après la découverte d’un spyware ayant infecté plus de 500 applications mobiles du Play Store, téléchargées plus de 100 millions de fois.

Si le Windows Store est truffé d’applications pirates, le Play Store n’est pas en reste. Le magasin de Google hébergeait en son sein un spyware. Plus de 500 applications téléchargées plus de 100 millions de fois sur le Play Store contenaient une porte dérobée (les fameuses backdoors) permettant d’installer par la suite un logiciel espion (spyware) sur tous les terminaux mobiles Android (smartphones et tablettes).

Les chercheurs de Lookout, spécialisés dans la sécurité mobile, ont mis la main sur une version malveillante d’un SDK publicitaire appelé Igexin. Un SDK (Software development kit) publicitaire est un kit de développement logiciel destiné aux développeurs leur permettant notamment de tirer parti des réseaux publicitaires, d’analyser une audience ou le comportement d’un utilisateur, ils peuvent notamment diffuser des publicités ciblées sur l’application en question.

Plus de 500 applications concernées

capture d’écran – Lookout

Le SDK Igexin était installé sur des centaines d’applications. Celui-ci permet ensuite d’installer un plug-in malveillant espionnant l’utilisateur à son insu. Plus de 500 applications téléchargées plus de 100 millions de fois seraient concernées : des jeux (dont l’un téléchargé plus de 50 millions de fois), des app météo, des webradios (entre 500 000 et 1 million de téléchargements), éditeurs de photographie (l’un téléchargé plus de 1 million de fois), mais aussi des applications utilitaires (éducation, santé, voyages, émojis, etc.).

Néanmoins, le plug-in malveillant n’aurait pas été activé sur toutes les applications vérolées. C’est en effectuant un contrôle de routine des applications que les chercheurs de Lookout ont détecté un trafic suspect : le téléchargement de gros fichiers chiffrés via Igexin. il s’agissait d’un malware en train de télécharger et d’exécuter du code après l’installation d’une application propre lui permettant ainsi d’échapper à toute détection.
La majorité des données exfiltrées sont les journaux d’appels (heure, numéro et état de l’appel – inactif, sonnerie ou décroché). Lookout a alerté Google et informé la firme sur les fonctionnalités d’Igexin. Les applications concernées ont été retirées du Play Store ou remplacées par des versions mises à jour, c’est-à-dire dénuées de tout spyware.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

1 commentaire
  1. – Ne pas installer d’applications qui nécessitent des accès non-nécessaire à leur fonctionnement. Beaucoup d’entres elles veulent avoir accès à votre carnet d’adresses sans raison.
    – “Firewall sans root” pour limiter l’accès à internet des applications qui n’ont pas besoin d’accès internet ou uniquement à votre réseau local pour fonctionner. Il n’est pas parfait . Notamment, comme il utilise un sous réseaux pour isolé le téléphone, les applications (des télécommandes par exemple)qui scannent l’intranet pour connecter des appareils et qui ne peuvent être configuré manuellement, ne fonctionnerons pas. Il faudrait soit un système de transfert de port (port forwarding) ou de DMZ.
    – Nougat par essais-erreur, désactivé les autorisations et testé si l’app fonctionne toujours….
    – Limiter vos systèmes de communications au minimum de société et de préférence à celle qui ont pignons sur rue. Google en sait beaucoup sur moi et c’est déjà suffisant.

Les commentaires sont fermés.

Mode