Une application Android avec plus de 500 000 téléchargements depuis Google Play a été surprise en train d’héberger un logiciel malveillant qui envoie subrepticement les contacts des utilisateurs à un serveur contrôlé par un attaquant et inscrit les utilisateurs à des abonnements coûteux, a rapporté une société de sécurité.
L’application, nommée Color Message, était encore disponible sur les serveurs de Google au moment de la préparation de cet article. Google l’a supprimé plus de trois heures après avoir demandé un commentaire à l’entreprise.
En apparence, Color Message améliore la messagerie texte en ajoutant des emojis et en bloquant les textes indésirables. Mais selon des chercheurs de Pradeo Security, a déclaré jeudi, Color Message contient une famille de logiciels malveillants connue sous le nom de Joker, qui a infecté des millions d’appareils Android dans le passé.
« Notre analyse de l’application Color Message via le moteur Pradeo Security montre qu’elle accède à la liste de contacts des utilisateurs et l’exfiltre sur le réseau », a déclaré le blog de la société. « Simultanément, l’application s’abonne automatiquement à des services payants indésirables à l’insu des utilisateurs. Pour le rendre difficile à supprimer, l’application a la capacité de masquer son icône une fois installée.
La découverte de Pradeo ne marque que la dernière instance de Google hébergeant des produits malveillants qui nuisent aux utilisateurs de son système d’exploitation mobile Android. Alors que la société analyse les applications à la recherche de logiciels malveillants et supprime régulièrement un grand nombre de soumissions de manière proactive, les applications que Google manque ne manquent pas. Les rapports fréquents d’applications malveillantes disponibles via Play ternissent un tableau de bord de sécurité par ailleurs propre pour le système d’exploitation mobile, du moins tel qu’il est disponible sur les appareils Pixel développés par Google.
Joker appartient à une catégorie de logiciels malveillants connue sous le nom de Fleeceware. Il simule des clics et intercepte des messages texte pour tenter d’abonner subrepticement les utilisateurs à des services premium payants qu’ils n’avaient jamais l’intention d’acheter. Joker est difficile à détecter en raison de la faible empreinte de son code et des techniques que ses développeurs utilisent pour le cacher. Au cours des dernières années, le malware a été détecté dans des centaines d’applications téléchargées par des millions de personnes.
En plus d’envoyer les contacts des utilisateurs à un serveur qui semble être situé en Russie et de s’abonner à des services indésirables, Color Message ne divulgue pas non plus l’étendue des actions que l’application peut effectuer sur les appareils des utilisateurs.
Comme d’habitude, les utilisateurs d’Android doivent être prudents avant de télécharger des applications. Une bonne règle de base est de télécharger des applications uniquement lorsqu’elles offrent un réel avantage, puis de choisir celles créées par des sociétés connues, lorsque cela est possible. Les gens devraient également lire les commentaires des utilisateurs pour voir s’il y a des rapports de malveillance.