Blog | Pradeo

Les applications contrefaites s'attaquent aux utilisateurs Android

Rédigé par Roxane Suau | 7 août 2017 12:00:00

Dans un article publié en mars, nous vous parlions des risques liés aux clones d’applications populaires. Cinq mois plus tard, les applications contrefaites sont toujours actives et ciblent toujours plus d’utilisateurs.

Quand un jeu comme GTA San Andreas séduit des millions de joueurs, il attire aussi l’attention de nombreux créateurs de malwares qui y voient une opportunité. Les malfaiteurs créent des applications qui reproduisent les interfaces d'applications officielles et y hébergent des malwares.

Allant de vagues copies à d’exactes répliques, ces contrefaçons malveillantes demandent plus de permissions que leurs consœurs officielles. Sachant que pour la grande majorité des versions d’Android, les permissions sont automatiquement approuvées lors de l’installation d’une application et que les utilisateurs y prêtent peu d’attention, c’est assez simple pour les hackers d’accéder aux données des utilisateurs.

Dissimulés sous des noms familiers ou à connotation sécurisée tels que « Word » ou « Virus Killer », voici quelques exemples de clones d’applications et leur vraie nature :

Nom de l'application : Word

Type de malware : Banking malware, il collecte les informations bancaires de l'utilisateur et les envoie vers une entité distante.

Sha1: d5d3f17377651f281f03d02228698dade7f55863

Version: 1.0

Package : com.uzuwjapc.wynav 

Nom de l'application : Easy Button

Type de malware : Data sending Trojan, il envoie le numéro de téléphone de l'utilisateur, les informations relatives à ses comptes (ex: identifiant et mot de passe Gmail...), l'identifiant du terminal et les données concernant le réseau à une entité distante.

Sha1: df09d9181f2953ef1d85ada2176852a8af57c0c0

Version: 1.3

Package : com.typ3studios.easybutton

Nom de l'application : Virus Killer

Type de malware : Trojan, il vole les informations du terminal (IMEI, OS, opérateur) et les données de l'utilisateur qui se trouvent sur le terminal et la carte SD et les envoie vers un serveur spécifique.

Sha1: 25dee640f87db159e97210e53d9631040a35f03a

Version: 2.2.2

Package : com.safesys.viruskiller 

Nom de l'application : Boost & Clean Pro

Type de malware : Ransomware

Sha1: afe2d4ec4ae8250f8d3131338b6158e9a3c6f3a2

Version: 0.5

Package : com.robocleansoft.boostvscleanapp 

Nom de l'application : Flash Player

Type de malware : Banking malware, il collecte les informations bancaires de l'utilisateur et intercepte les OTP.

Sha1: 48e6fd9cd4b65e8f1b84c8a00401340520c63464

Version: 2.0

Package : com.go.sfad.cas 

Nom de l'application : Grand Theft Auto: San Andreas

Type de malware : Data sending Trojan, il envoie la localisation, la liste des applications installées, l'identifiant du terminal ainsi que des informations relatives au réseau et au terminal vers une entité distante.

Sha1: 6473b9109de1da42f6451525aff57c878c309e10

Version: 1.4

Package : com.gta.sanandreas 

Nom de l'application : Lara Croft GO

Type de malware : SMS trojan, il envoie des SMS à des numéros surtaxés.

Sha1: d5846a0d971a5db244f543a25a80520ebe101e57

Version: 2.0.53878

Package : com.squareenixmontreal.lcgo 

Nom de l'application : Kingdom Rush Origins

Type de malware : Adware, il affiche des publicités, pop-ups et redirections malveillantes et vole des données en utilisant Android/Fobus.

Sha1: d90dc80bfdeb33efab6bb4e255d8b1a6ecc22c5f

Version: Inconnue

Package : app.net_android_system_file_download_210110217

 

La variété et le nombre d’applications contrefaites montrent le fort potentiel que les applications mobiles représentent pour les hackers, offrant un accès direct à une multitude de données. Aussi, cela démontre un manque de rigueur de la part des utilisateurs quant à la sécurité de leurs applications. Une des premières règles à respecter pour se tenir à l’écart des applications contrefaites est de ne jamais télécharger depuis des stores non officiels. Même si le Play Store n’est pas infaillible et héberge parfois des applications corrompues, il pratique néanmoins un premier niveau de test sur les applications qu’il distribue, ce qui n’est pas le cas des stores tiers.

Il est conseillé aux entreprises d’utiliser une solution de protection de flotte mobile qui testera automatiquement toutes les applications installées sur les terminaux des collaborateurs et bloquera celles qui ont des comportements malveillants.

 

Découvrez la solution de protection de flotte mobile de Pradeo 

Intégrez PRADEO SECURITY à votre solution EMM/MDM : AirWatch, MobileIron, IBM MaaS360, SOTI