Le malware Android Judy pourrait avoir infecté 36,5 millions d'utilisateurs,
selon le spécialiste en sécurité Checkpoint
Selon le spécialiste en sécurité Checkpoint, un nouveau logiciel malveillant (baptisé « Judy », probablement en référence au fait qu’il a infecté des applications de la famille Judy, un ensemble de jeux dans lesquels on retrouve par exemple la restauration ou la mode) a été trouvé dans 41 applications sur Google Play Store dont la plupart étaient de simples jeux développés par l'entreprise sud-coréenne Enistudio. Le publiciel utilise les périphériques infectés pour générer de nombreuses quantités de clics frauduleux sur les publicités, générant des revenus pour les auteurs.
« Les applications malveillantes ont atteint un écart étonnant de téléchargements compris entre 4,5 millions et 18,5 millions. Certaines des applications que nous avons découvertes résident sur Google Play depuis plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas depuis combien de temps le code malveillant est présent dans les applications, raison pour laquelle la diffusion réelle du malware reste inconnue », a noté Checkpoint.
Enistudio n’est pas le seul éditeur à avoir vu ses applications embarquer le code malveillant, comme le note Checkpoint. Même si le spécialiste précise que la connexion entre les deux est incertaine, il suppose qu’une portion de code peut avoir été empruntée à l’autre, sciemment ou inconsciemment.
« L'application la plus ancienne de la deuxième campagne a été mise à jour pour la dernière fois en avril 2016, ce qui signifie que le code malveillant s'est caché pendant longtemps sur le magasin Play sans avoir été détecté. Ces applications ont également eu une grande quantité de téléchargements qui se trouvent dans une fourchette comprise entre 4 et 18 millions, ce qui signifie que la propagation totale des logiciels malveillants peut avoir été répandue dans une fourchette d’utilisateurs comprise entre 8,5 et 36,5 millions », souligne Checkpoint.
Pour éviter de se faire détecter par Google en tant que logiciel malveillant, le malware se téléchargeait automatiquement grâce à une mise à jour des applications concernées. Sauf que cette mise à jour était téléchargée sur des serveurs indépendants du Google Play Store. Google n'avait donc pas moyen de vérifier le contenu du téléchargement : « À l'instar des logiciels malveillants antérieurs qui ont infiltré Google Play, tels que FalseGuide et Skinner, Judy s'appuie sur la communication avec son serveur Command and Control (C & C) pour son fonctionnement ».
Après que Check Point a informé Google de cette menace, les applications ont été rapidement retirées du Play Store.
Source : Checkpoint
Voir aussi :
Opera Mini pour iOS n'a pas reçu de mises à jour en 2017, l'éditeur du navigateur concentre ses efforts sur Android
Les développeurs Android peuvent désormais empêcher leur application de prendre un appareil rooté en charge, par le biais de l'API SafetyNet
La première préversion d'Android Studio 3.0 disponible avec le support de Kotlin, plus de fonctionnalités Java 8 et bien plus encore
Partager