News
Pradeo : Deux logiciels espions liés à la Chine trouvés sur le Google Play Store
juillet 2023 par Roxane Suau de Pradeo
Cette semaine, notre moteur a détecté deux logiciels espions se cachant dans le Google Play Store et affectant jusqu’à 1,5 million d’utilisateurs. Les deux applications proviennent du même développeur, se présentent comme des applications de gestion de fichiers et ont des comportements malveillants similaires. Elles sont programmées pour se lancer sans interaction de la part des utilisateurs et pour exfiltrer silencieusement les données de l’appareil vers divers serveurs malveillants basés en Chine. Nous avons alerté Google de cette découverte en amont de cette publication.
Comment identifier ces logiciels espions ?
File Recovery & Data Recovery - com.spot.music.filedate - 1M+ installations
File Manager - com.file.box.master.gkd - 500K+ installations
file manager file reco
Données piratées : De la liste de contacts aux médias...
Sur le Google Play Store, les profils des deux applications découvertes annoncent qu’elles ne collectent aucune donnée à partir des appareils des utilisateurs, ce qui est une fausse information. En outre, il est annoncé que si des données sont collectées, les utilisateurs ne peuvent pas demander leur suppression, ce qui est contraire à la plupart des lois de protection des données telles que le RGPD.
Les rapports de notre moteur d’analyse comportementale montrent que les deux applications espionnes collectent des données très personnelles de leurs utilisateurs, pour les envoyer vers un grand nombre de destinations qui sont pour la plupart situées en Chine et identifiées comme malveillantes. Les données volées comprennent :
La liste de contacts des utilisateurs à partir de l’appareil lui-même et de tous les comptes connectés tels que les applications d’email, les réseaux sociaux...
Les médias compilés dans l’application : Images, contenus audio et vidéo
La localisation de l’utilisateur en temps réel
Le code du pays du réseau téléphonique
Le nom du fournisseur de réseau
Le code du fournisseur SIM
Le numéro de version du système d’exploitation, qui peut conduire à l’exploitation des failles d’un système non mis à jour, comme le fait le logiciel espion Pegasus
La marque et le modèle de l’appareil
Plus précisément, chaque application effectue plus d’une centaine de transmissions des données collectées, une quantité si importante qu’elle est rarement observée.
File Manager :
Une image contenant texte, capture d’écran, Police, nombre Description générée automatiquement
File Recovery & Data Recovery :
Une image contenant texte, capture d’écran, nombre, Police Description générée automatiquement
Différentes techniques de piratage pour maximiser les chances de succès
Avoir l’air légitime : Lorsque nous naviguons sur les magasins d’applications, nous avons tendance à penser que les applications qui ont été largement installées sont dignes de confiance et performantes. Les deux logiciels espions identifiés affichent un grand nombre d’utilisateurs, mais n’ont reçu aucune évaluation de leur part. Nous pensons que le pirate a utilisé une "ferme d’installation" ou des émulateurs d’appareils mobiles pour falsifier ces chiffres, ce qui permet à ses applications d’être mieux classées dans les stores et d’accroître leur légitimité apparente.
Demander moins d’interaction de la part de l’utilisateur : Souvent, les utilisateurs installent des applications qu’ils finissent par ne pas utiliser. Pour la plupart des logiciels malveillants, cela signifie que l’attaque n’aboutit pas. Pour surmonter cet obstacle, File Manager et File Recovery & Data Recovery peuvent, grâce aux autorisations avancées qu’elles utilisent, provoquer le redémarrage de l’appareil. Au redémarrage, elles ont la capacité de s’exécuter automatiquement.
Empêcher la désinstallation : Il est courant de croire que sur un appareil mobile Android, lorsque l’on installe une application, son icône s’affiche toujours sur l’écran d’accueil. Or, ce n’est pas le cas et une application peut simplement cacher son icône de la vue générale. Ces deux applications de gestion de fichiers utilisent cette technique pour rendre leur désinstallation plus difficile. Pour les supprimer, les utilisateurs doivent se rendre dans la liste des applications dans les paramètres.
Nos recommandations en matière de sécurité
Tout d’abord, nous conseillons à toute personne utilisant ces applications de les désinstaller.
A titre individuel :
Ne téléchargez pas d’applications qui affichent des milliers d’utilisateurs, mais aucune note de leur part.
Lisez les avis lorsqu’il y en a, ils reflètent généralement la véritable nature de l’application.
Lisez toujours attentivement les autorisations avant de les accepter.
En tant qu’organisation :
Sensibiliser les collaborateurs aux menaces mobiles.
Automatiser la détection et la réponse mobile pour offrir une flexibilité sécurisée aux utilisateurs, en contrôlant les applications et en empêchant leur lancement si elles ne sont pas conformes à votre politique de sécurité.
