Android : Lookout insiste sur le danger des magasins applicatifs alternatifs
L’éditeur indique avoir observé plus de 20 000 échantillons d’applications soutenues par la publicité et intégrant des logiciels malveillants très difficiles à supprimer, mais distribuée en dehors de Google Play.
Télécharger des applications Android à partir de magasins applicatifs alternatifs peut s’avérer de plus en plus dangereux… C’est du moins ce que souligne, en filigrane, Lookout.
Dans un billet de blog, l’éditeur explique ainsi avoir « détecté plus de 20 000 échantillons de logiciels financés par la publicité mais intégrant un cheval de Troie, et maquillés comme des applications légitimes populaires, dont Candy Crush, Facebook, GoogleNow, NYTimes, Okta, Snapchat, Twitter, WhatsApp, et plusieurs autres ».
Le processus est simple : les applications légitimes sont repackagées pour intégrer une librairie de gestion des publicités malicieuse, avant d’être republiées sur des magasins applicatifs alternatifs au Google Play Store.
Problème : ces applications sont désormais discrètes, laissant leur partie malveillante fonctionner en tâche de fond… comme des processus système, après avoir rooté le terminal à l’insu de son propriétaire. Et là, « les victimes ne seront probablement pas en mesure de désinstaller le logiciel malveillant », à moins de réinstaller complètement le système d’exploitation de l’appareil. Pour beaucoup, donc, cela se traduira par « chercher l’aide d’un professionnel, ou simplement acheter un nouvel appareil ».
Là, Lookout interpelle en particulier sur trois familles de logiciels malveillants pour Android, Shuanet, Kemoge (aussi appelé ShiftyBug) et Shedun (ou GhostPush), qu’il insiste pour considérer comme de véritables chevaux de Troie. Les taux d’infection par ces trois familles seraient les plus importants aux Etats-Unis et en Allemagne. Les acteurs responsables de Shuanet joueraient largement sur la discrétion, distribuant ainsi une version totalement fonctionnelle et intact de l’application d’authentification à double facteur Okta.
De quoi plaider un peu plus pour l’enrôlement des terminaux Android dans des systèmes de MDM ou d’EMM, supportant la détection du rootage, afin d’éviter le laisser actifs de tels appareils vulnérables, sinon compromis, sur le réseau.