Lookout Security Intelligence a découvert qu’un kit de développement logiciel (SDK) publicitaire nommé Igexin constituait un risque sécuritaire.

Toutes les applications l’utilisant, soit plus de 500 dans le Google Play, ont en effet la possibilité de télécharger un plug-in qui permet d’espionner ses utilisateurs.

Au total, ces applications ont déjà été téléchargées 100 millions de fois.

L’offre d’applications semblant inoffensives mais pouvant télécharger des logiciels malveillants est l’une des stratégies les plus utilisées par les pirates pour parvenir à leurs fins. Ici, c’est différent, puisque les auteurs des applications ne sont pas en cause. Ils ne savent pas qu’un module malveillant peut être téléchargé, et ils ne contrôlent pas le serveur pirate.

Parmi les applications intégrant le sdk Igexin les plus téléchargées, on dénombre :

  • Des jeux pour adolescents ;
  • Des applications météo ;
  • Des radios Internet ;
  • Des éditeurs de photos ;
  • Des applications éducatives, santé et forme, de voyage, émoji et de caméra vidéo.

Typiquement, les développeurs d’applications intègrent un sdk publicitaire afin de gagner des revenus avec leurs applications. Le SDK permet d’exploiter un réseau publicitaire et d’afficher des publicités sur l’appareil mobile. Les services publicitaires en profitent également pour collecter des données sur l’utilisateur, tel que ses intérêts, son occupation, son revenu et sa localisation.

Lors d’une analyse de routine d’applications vers des adresses IP qui ont été autrefois utilisées par des serveurs malveillants, Lookout Securities a détecté des trafics suspects.

Ils ont découvert qu’une application téléchargeait de gros fichiers chiffrés après avoir lancé quelques requêtes REST auprès de http ://sdk[.]open[.]phone[.]igexin.com/api.php, un des points d’entrée du sdk Igexin.

Chiffrer les communications est une bonne pratique de sécurité, mais suspicieusement, les requêtes et les réponses de l’api ne sont pas chiffrées.

Le fait que le fichier soit chiffré, et que le SDK appelle une fonction permettant de lire une classe à partir d’un fichier .jar ou .apk, a incité les chercheurs à enquêter.

En analysant le code, Lookout s’est aperçue que de nombreux modules avaient pour but d’enregistrer un journal des appels téléphoniques, avec l’heure et la date de l’appel, le numéro appelé, et le statut de l’appel. Ces modules envoient régulièrement ces informations à http ://sdk[.]open[.]phone[.]igexin.com/api.php.

Il est fort possible que d’autres modules exfiltrent plus de données.

Le sdk publicitaire est développé par une société chinoise, et le nom de domaine igexin.com est enregistré sur le registre de domaine contrôlé par Xin Net Technology Corporation de Pékin, en contravention en 2014 avec l’accord avec ICANN, et le premier mis en cause pour les pourriels.

Google a donc retiré toutes les applications exploitant le SDK du magasin virtuel Google Play.

Malheureusement, les applications déjà installées sur un smartphone Android ne sont pas automatiquement effacées. Il est donc important de vérifier que l’appareil est équipé du Google Play Protect, une nouvelle fonctionnalité de sécurité qui désinstallera les applications malveillantes.