Google supprime six applications antivirus contenant des logiciels malveillants du Play Store

Il semble que l’effort de Google pour contrer les applications infectées par des logiciels malveillants soit insuffisant, car le Play Store reçoit trop d’applications de ce type à gérer.

Des chercheurs ont trouvé six autres applications sur le Google Play Store qui volent apparemment des identifiants de connexion et ont été supprimées avec succès de la plateforme. L’ironie ici est que ces applications sont des programmes « antivirus ».

Table des matières

• Six programmes antivirus ont été supprimés du Play Store
• Le modus operandi de Sharkbot

Six programmes antivirus ont été supprimés du Play Store

Selon les chercheurs de CheckPoint, six applications sur le Google Play Store ont été téléchargées plus de 15 000 fois avant que le géant des moteurs de recherche ne les supprime.

Ces applications n’étaient pas des applications de beauté ou de caméra (qui sont généralement les transporteurs), mais plutôt des programmes antivirus qui sont vraiment rebutants.

Selon les rapports, ces six applications se faisant passer pour des programmes antivirus utilisaient le programme de vol Sharkbot pour Android. Sharkbot crée des formulaires d’entrée qui imitent ceux de la véritable application déclenchée lors d’événements tels que l’ouverture d’applications bancaires, incitant les utilisateurs à entrer leurs détails.

Alors que l’utilisateur remplit sans le savoir les identifiants sur un faux formulaire, Sharkbot obtient tous les détails pertinents. De plus, il peut intercepter des SMS, effectuer du keylogging et avoir un accès à distance complet à l’appareil de la victime.

Les applications incluent Atom Clean – Booster, Antivirus ; Antivirus, Super Cleaner ; Alpha Antivirus, Cleaner ; Powerful Cleaner, Antivirus ; Center Security – Antivirus ; et Center Security – Antivirus de plusieurs développeurs.

Le modus operandi de Sharkbot

Sharkbot met en place de faux (mais convaincants) formulaires où la personne entre ses identifiants de connexion. Ici, les détails des identifiants sont envoyés au serveur malveillant. Le programme peut enregistrer les identifiants pour les applications de messagerie, les réseaux sociaux et les applications bancaires, entre autres.

Pour l’instant, les victimes de ces applications proviennent principalement d’Italie et du Royaume-Uni. Sharkbot a utilisé la géorestriction pour restreindre son accès en Russie, en Roumanie, en Inde, en Chine, en Biélorussie ou en Ukraine en ignorant les utilisateurs mentionnés.

Il est alarmant de voir comment ces applications ont pu passer à travers le SafetyNet de Google. Le rapport mentionne que les caractéristiques malveillantes de ces applications n’étaient pas activées tant que quelqu’un ne les avait pas téléchargées et utilisées. C’est probablement la raison pour laquelle ces applications ont pu passer sous le radar.

Pour l’instant, Google a supprimé ces six applications du Play Store. Ces applications seront toujours disponibles sur d’autres marchés, y compris sous forme d’APKs.