Méfiez-vous des annonceurs camouflés en applications de sécurité

Méfiez-vous des annonceurs camouflés en applications de sécurité

Les chercheurs d'ESET ont analysé un ensemble d'applications récemment découvertes sur Google Play, qui se camouflent en applications de sécurité. Au lieu de sécuriser l’appareil, ils ne fournissent que des publicités non désirées et une pseudo-sécurité inefficace.

Les chercheurs d’ESET ont analysé un ensemble d’applications récemment découvertes sur Google Play, qui se camouflent en applications de sécurité. Au lieu de sécuriser l’appareil, ils ne fournissent que des publicités non désirées et une pseudo-sécurité inefficace.

Selon AV-Comparatives, un organisme de test indépendant, il existe des différences significatives dans le niveau de protection fourni par les solutions de sécurité mobile. Cependant, même les plus pauvres d’entre eux s’avèrent être encore bien meilleurs que les applications douteuses qui se font passer pour des applications de sécurité afin d’afficher des publicités aux utilisateurs. Trente-cinq de ces applications ont récemment été découvertes dans le magasin officiel d’applications Android de Google Play.

Ces applications ont pu passer sous le radar pendant quelques années, alors que les statistiques de Google Play montrent qu’elles ont obtenu au minimum plus de six millions d’installations cumulatives. Cependant, toutes ces installations n’étaient pas nécessairement réelles : c’est pratique courante de faire de faux téléchargements par des robots qui publient par la suite des critiques positives et améliorent les évaluations de leurs applications respectives.

Toutes les 35 applications ont été signalées par ESET et ont depuis été retirées du Google Store.

Figure 1 - Les 35 applications en question sur Google Play

Figure 1 – Les 35 applications en question sur Google Play

En plus de contrarier leurs victimes avec des publicités, ces applications camouflées en logiciels de sécurité ont aussi de sérieux effets secondaires négatifs. En imitant les fonctions de sécurité de base – en fait, elles agissent toutes comme des vérificateurs de sécurité très primitifs, s’appuyant sur quelques règles triviales codées en dur – ces applications détectent souvent les applications légitimes comme malveillantes. Enfin, elles entraînent un faux sentiment de sécurité chez les victimes, ce qui peut les exposer à des risques réels liés à des applications malveillantes qui ne sont pas détectées en tant que telles.

L’analyse d’ESET a montré que parmi ces 35 applications, seulement quelques-unes se distinguent par leurs caractéristiques spécifiques. Une de ces applications n’est pas totalement gratuite, puisqu’elle offre une mise à niveau payante. Une autre a implémenté un gestionnaire de verrouillage d’applications primitif, facilement contournable. Une troisième application signale les autres applications de ce groupe comme dangereuses par défaut. Finalement, l’une d’entre elles utilise à mauvais escient l’image de marque d’ESET.

 

Figure 2 - Une des 35 applications détectant d'autres applications similaires comme étant hautement risquée

Figure 2 – Une des 35 applications détectant d’autres applications similaires comme étant hautement risquée

Figure 3 - L'une des applications se signalant elle-même comme étant à haut risque.

Figure 3 – L’une des applications se signalant elle-même comme étant à haut risque.

Figure 4 - Une des applications offrant une version pour professionnels

Figure 4 – Une des applications offrant une version pour professionnels

Fonctionnalité d’imitation de sécurité

Afin de demeurées indétectées, toutes ces applications publicitaires douteuses imitent les solutions de sécurité mobile actuelles. Cependant, leurs « mécanismes de détection » sont incomplets et très primitifs, ce qui les rend faciles à contourner et sujets aux faux positifs.

Notre recherche sur ces applications questionnables a montré que leurs « mécanismes de détection » peuvent être divisés en quatre catégories. Ces mécanismes sont identiques ou presque identiques pour l’ensemble des applications.

1) Liste blanche et liste noire

Ces listes blanches comprennent des applications populaires telles que Facebook, Instagram, LinkedIn, Skype et autres. Les listes noires contiennent beaucoup trop peu d’éléments pour être considérées comme des fonctionnalités de sécurité.

Figure 5 - Liste blanche des applications les plus populaires

Figure 5 – Liste blanche des applications les plus populaires

2) Liste noire des permissions

Toutes les applications (y compris les applications légitimes) sont signalées si elles nécessitent certaines des permissions listées qui sont considérées comme dangereuses, telles que l’envoi et la réception de SMS, l’accès aux données de localisation, l’accès à la caméra, etc.

Figure 6 - Liste noire des autorisations

Figure 6 – Liste noire des autorisations

3) Liste blanche des sources

Toutes les applications sauf celles de la boutique officielle Android, Google Play, sont signalées – même si elles sont complètement inoffensives.

4) Liste noire des activités 

Toutes les applications qui contiennent l’une des activités de la liste noire : c’est-à-dire des parties d’applications. Il s’agit principalement de certaines activités d’affichage publicitaire.

Les applications marquées sont toutes les applications qui contiennent l’une des activités de la liste noire, c’est-à-dire les paquets d’application qui sont utilisés dans une application. Ces paquets peuvent gérer des fonctionnalités supplémentaires (principalement certaines activités d’affichage d’annonces).

Bien que l’idée d’une liste noire des activités ne soit pas problématique en elle-même, l’implémentation de celle-ci par ces applications douteuses est plutôt négligée. Par exemple, Google Ads est inclus dans la liste noire, bien qu’il s’agisse d’un service légitime. En plus d’être légitime, ce service est implémenté dans toutes les applications questionnables que nous avons analysées.

Figure 7 - Liste noire des activités

Figure 7 – Liste noire des activités

Fonctionnalité de sécurité supplémentaire

Certaines des applications de sécurité douteuses sont capables de protéger les applications d’un utilisateur à l’aide d’un mot de passe ou d’un motif de verrouillage. L’idée derrière cette fonctionnalité apparemment utile est de fournir à l’utilisateur une couche de sécurité supplémentaire pour les applications sélectionnées.

Cependant, en raison d’une implémentation non sécurisée, cette fonctionnalité ne fournit pas non plus une véritable sécurité à l’utilisateur.

Le problème est que les informations pertinentes ne sont pas stockées en toute sécurité sur l’appareil – au lieu d’utiliser le chiffrement, pratique de base en cybersécurité, ces applications stockent les noms des applications verrouillées et les mots de passe pour les déverrouiller sous forme de texte en clair.

Ce implique qu’il est possible d’accéder aux données après l’enracinement de l’appareil.

En plus de compromettre les données non chiffrés par le rootage, ou débridage, du téléphone, un autre moyen pourrait permettre de contourner le verrouillage de l’application. Un attaquant ayant un accès physique à l’appareil peut en effet modifier le mot de passe de verrouillage de l’application sans connaître l’ancien mot de passe!

Figure 8 - Une des applications douteuses disposant la fonctionnalité de verrouillage de l'application qui stocke les données utilisateur dans un texte en clair

Figure 8 – Une des applications douteuses disposant la fonctionnalité de verrouillage de l’application qui stocke les données utilisateur dans un texte en clair

Conclusion

Disposer d’une solution de sécurité sur son téléphone Android est certainement une bonne chose. Cependant, ce ne sont pas toutes les applications dont le nom comprend les termes « sécurité » ou « antivirus » qui livrent la marchandise.  Avant d’installer une solution de sécurité, réfléchissez-y à deux fois : est-ce vraiment un outil sur lequel vous pouvez compter en toute quiétude?

Les 35 applications de pseudo-sécurité décrites dans cet article ne sont ni des rançongiciels, ni tout autre type de logiciel particulièrement malveillant. Le seul tort qu’ils font est d’afficher des publicités ennuyeuses, de faire des détections faussement positives et de donner à la victime un faux sentiment de sécurité. Cependant, les millions d’utilisateurs non avertis qui les ont téléchargées sont à risque de télécharger des applications vraiment malveillantes utilisant une méthode de camouflage similaire.

Au lieu d’applications douteuses utilisant des noms et des icônes tape-à-l’oeil et des promesses extravagantes et non fondées, recherchez une solution de sécurité de bonne réputation. Comment choisir à quel logiciel faire confiance? Un test indépendant effectué par un organisme d’essai bien respecté pourrait vous aider.

Indicateurs de compromission (IoCs)

Nom de détection d’ESET :

Application potentiellement indésirable Android/Blacklister.A

App NamePackage NameInstalls
Virus Cleaner Antivirus 2017 - Clean Virus Boostercom.sta.viruscleaner.antivirus1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner)com.superantivirus.mobilesecurity1,000,000+
hAntivirus - Securitycom.noah.antivirus1,000,000+
Antivirus Security freecom.xplusapps.antivirus.free500,000+
Antivirus 2018com.gotechgo.antivirus.mobilesecurity2018500,000+
Antivirus Cleancom.mobileapp.virus500,000+
Security Antivirus 2018muel.security.antivirus500,000+
Max Security - Antivirus&Booster &Cleanercom.stranger.maxsecurity500,000+
Antivirus Cleaner - Virus Scanner And Junk Removercom.applock.security.viruscleaner100,000+
Antivirus Security Freecom.rgamewall.anti2018100,000+
Antivirus Cleaner For Android & App Locker Patterncom.antivirusforandroid.freeapp100,000+
Antivirus Securitydhl.freesecure100,000+
Smadav antivirus for android 2018com.smallapp.antivirus50,000+
Antivirus Free : Process Viruscom.greenbooster.process50,000+
TV Antivirus Free + Applocktoto.prosecurity50,000+
Antivirus Virus Cleaner - Security Applock 2017com.viruscleaner.antivirus.security50,000+
Super Security-Anti Virus, Phone Cleaner & Boostercom.supersecurity.cleaner10,000+
Antivirus Free + Virus Cleaner + Security Appantivirus.cleaner.security.scanner10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile freecom.fantabulous.antiviruspro.viruscleaner10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Mastercom.msysoft.viruscleaner.cleanvirus10,000+
360 Secure Antiviruscom.ufgames.antivirus10,000+
Antivirus Cleaner Boostercom.best.apps.collection.antivirus10,000+
Antivirus Android 2018com.looptoop.antivirus.android201810,000+
Antivirus & Virus Remover 2018com.glagahstudio.viruscleaner.booster10,000+
Antivirus Free 2018com.lalbazai.antivirus.mobilesecurity20185,000+
Kara Security Manager Antiviruskara.securitymanager.antivirus5,000+
Security Antivirus 2018jts.security.mobile5,000+
Antivirus & Virus Cleaner & Securityoriwa.antivirus.cleanvirus5,000+
Master Antivirus Booster App Lockcom.boostercleaner.antivirus.mobilesecurity5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLockcom.radiantappsworld.securityantivirus5,000+
Smart Security Antivirus & Applocker & Cleanerorg.orangina.antivirusmobilesecurity1,000+
Antivirus 2017 & Virus Removalcom.bsm.multisecurity1,000+
Energy Antivirus Cleanercom.energy.antivirus.cleaner1,000+
Antivirus Master-Applock Procom.octa.anti.antivirus500+
AntiVirus Mobile Security for Android - Freecom.mobicluster.mobile.security.antivirus100+

Discussion