Les applications malveillantes

Même si Google Play est sans doute le magasin d’applications Android le plus sûr, Google continue de surestimer la sécurité de cet écosystème, et de minimiser l’impact des logiciels malveillants.

Démonstration la plus récente : d’après une étude de Bitdefender, des logiciels malveillants d’espionnage sont distribués en toute tranquillité par Google Play depuis au moins 2016…

Cette plateforme d’espionnage a été découverte en janvier 2020 par Bitdefender, qui l’a nommée Mandrake (mandragore), en référence aux noms de plantes choisis par ses créateurs, sans doute basés en Russie ou au Kazakhstan, pour les branches de développement majeur. Elle estime qu’elle est active depuis au moins quatre ans.

De nouvelles fonctionnalités sont ajoutées régulièrement, d’autres retirées, et des bogues supprimés.

Mandrake est caché dans des applications du Play Store : Abfix, CoinCast, SnapTune Vid, Currency XE Converter, Office Scanner, Horoskope et Car News.

Une plateforme sophistiquée

Le logiciel malveillant obtient un contrôle total sur l’appareil infecté : configuration du volume, blocage d’appels ou de messages, vol d’informations de connexions, exfiltration d’information, attaques d’hameçonnage, etc.

Le nombre de victime se compterait en centaines de milliers. La motivation de ses créateurs est sans doute financière, la plateforme pouvant sans problème déjouer la plupart des authentifications à double facteur des banques.

Contrairement à la plupart des logiciels malveillants, les créateurs de Mandrake prennent soin d’éviter les notations négatives en en tenant compte et en développant des correctifs. Des microsites promeuvent les applications, qui ont aussi une présence sur les réseaux sociaux.

Pour éviter la protection du Google Play, Mandrake retarde son activité malveillante et travaille par stages. Après le stage 1, d’installation de l’application, le stage 2, l’installation du téléchargeur de modules malveillants s’effectue plus tard. Enfin, le stage 3, le téléchargement et l’installation des modules malveillants s’effectue encore plus tard.

Si certaines conditions sont remplies, le logiciel malveillant s’arrête : dans les pays à bas revenus, les nations africaines, les pays de l’ex-Union soviétique, et les pays de langue arabe. Il ne tourne pas sur les appareils sans carte SIM, ou si les SIM proviennent d’opérateurs spécifiques comme Verizon ou China Mobile Communications Corp.

Les serveurs de commande et de contrôle ne répondent pas à des connexions issues de certains pages d’adresses IP, comme celles des fournisseurs d’informatique en nuage.

L’utilisation de vérifications captcha et d’autres mécanismes s’assure que l’application ne tourne pas dans un environnement simulé dans un laboratoire.

Toutes ces mesures sophistiquées ont le même but : éviter d’être détectée.

Principaux pays visés

Les applications manipulent les graphiques, afin que l’utilisateur accepte de donner tous les droits à l’application en croyant accepter autre chose, comme des conditions d’utilisation.

Un bogue du système de commande et contrôle a permis à Bitdefender de découvrir un certain nombre d’applications visées. La plupart sont des applications bancaires et de finance, et dans une moindre mesure de shopping et de communication.

Les principaux pays visés sont : l’Australie (40 applications bancaires visées), les États-Unis, la Pologne, les Pays-Bas, l’Allemagne, l’Autriche, l’Italie, l’Espagne, le Royaume-Uni, la Belgique, le Brésil, la République Tchèque et Singapour.

Bitdefender met à disposition une étude détaillée de 58 pages sur Mandrake : https://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf.

En général, des logiciels malveillants d’une telle sophistication sont développés par des agences de pirates patronnées par des États.