Globalement, Google a réussi à bien protéger le Google Play contre les apps infectées par des Chevaux de Troie. Mais les attaquants trouvent toujours d'autres parades pour introduire des apps malveillantes dans la boutique d'applications Android. Récemment, des chercheurs d'Avast Software ont découvert que trois apps du Google Play comportaient des fonctions d'adware cachées qui s'activaient quelques jours après leur installation. Ces applications - un jeu appelé Durak, un test de QI et une application sur l'histoire - ont été téléchargées des millions de fois. « Quand les gens installent Durak, l'app ressemble et se comporte comme un jeu normal », a déclaré mardi dans un blog le chercheur d'Avast, Filip Chytry. « Rien ne change jusqu'au redémarrage du terminal. Ensuite, après une semaine environ, les problèmes commencent à se manifester ».
Plus précisément, chaque fois que l'utilisateur déverrouille son mobile, l'app affiche des alertes persistantes disant que l'appareil et les données sont en danger. « Évidemment, l'utilisateur est invité à agir, mais c'est alors qu'il encourt de gros ennuis », ajoute le chercheur. En effet, il peut être redirigé vers des app stores suspects et vers des apps douteuses qui tentent subrepticement d'envoyer des messages texte au nom de l'utilisateur. Il y aussi des apps qui demandent beaucoup d'informations personnelles, mais qui n'offrent pas grand-chose en retour. Si ces procédures semblent familières, c'est qu'elles sont très similaires aux escroqueries de scareware, très efficaces, qui ont ciblé les utilisateurs de PC pendant des années, les poussant à installer de faux programmes antivirus ou de faux utilitaires d'optimisation système en faisant surgir de fausses alertes.
Les apps retirées, mais d'autres menaces pèsent sur Google Play
Le fait de retarder les messages d'alerte pendant plusieurs jours est une tactique assez subtile de la part des pirates parce qu'elle ne permet pas aux utilisateurs de trouver rapidement l'app à l'origine des alertes, à condition qu'ils pensent à cette éventualité. D'autant que, les apps téléchargées sur le Google Play sont d'abord testées dans un émulateur Android appelé Bouncer qui surveille leur comportement post-installation. Et, en retardant l'activité malveillante, les auteurs espèrent aussi que leurs apps passeront inaperçues le temps de cette analyse. « Je pense que la plupart des utilisateurs vont croire qu'il y a un problème sur leur mobile et que celui-ci peut être résolu avec l'une des solutions proposées par les applications malveillantes. Ils vont suivre les étapes recommandées, et certains vont probablement acheter des applications indésirables provenant de sources douteuses », a déclaré Filip Chytry.
Dans certains cas, les annonces peuvent orienter les utilisateurs vers des apps de sécurité légitimes, également hébergées sur le Google Play, afin de gagner de l'argent grâce à des programmes de redirection. « Bien sûr, ces apps de sécurité sont sans danger, mais les éditeurs de solutions de sécurité ont-ils vraiment envie de promouvoir leurs apps via des adwares ? », a ajouté le chercheur. « Surtout, même si l'utilisateur installe ces applications de sécurité, elles ne mettront pas fin aux alertes indésirables ». Google a retiré du Google Play les trois apps incriminées. Mais l'incident montre que, même si les Chevaux de Troie sont les malwares les plus répandus sous Android, il existe également d'autres types de menaces dans la boutique officielle de Google. Le fournisseur a confirmé que les apps avaient été retirées, mais n'a fait aucun commentaire sur ce type de menaces, ni sur la capacité des attaquants à contourner les protections de son Google Play.