Source principale :
https://blog.pradeo.com/pradeo-identifi ... oogle-play
Le malware Joker continue de faire parler de lui sur le Google Play Store .
Cette fois ci il se cachait dans l'application
Color Message.
Celle ci est censée ajouter des emojis et autres fonctionnalités aux messages textes comme bloquer les messages indésirables etc
L'application est récente a eu une mise à jour au 21 novembre 2021, mais a été téléchargée 500 000 fois en l'espace de quelques semaines
Le truc c'est que le 2 décembre, il n'y avait QUE 10 000 téléchargement
Il semble curieux que cette appli "jeune" puisse bénéficier d'un tel engouement, mais il est possible qu'une autre application la télécharge en douce (via une pub à cliquer par ex ou un téléchargement conjoint)
Le problème c'est que personne ne s'est penché sur le mode de diffusion
Si on regarde les termes qui apparaissent comme "Lovely bags".. C'est du mauvais anglais.
Seulement ce n'est pas significatif, car nombre de personnes ne savent pas que les arnaques utilisent volontairement des tournures de phrases qui peuvent faire mal aux yeux :-) , font des fautes d'orthographes, de grammaire, etc, volontairement, tout simplement pour écarter les gens qui réfléchissent, ont plus qu'un demi cerveau, ne sont pas des cancres, ou tout simplement ne sont pas crédules ou naîfs (il faut différencier), et ce afin de gagner du temps en écartant ces gens à .. problèmes qui pourraient ne pas se laisser avoir et seraient plus susceptibles de comprendre l'arnaque au fur et à mesure qu'elle se déroule.
C'est une technique de manipulation.. tout comme celles liés à l'ego, l'argent facile etc
Color message.jpg
MODE D'ACTION
Code : Tout sélectionner
- Le malware récupérait la liste de contacts de l'utilisateur pour l'envoyer sur un serveur en Russie
- Il l'abonnait sans qu'il le sache à des services payants.
- Il simule des clics et intercepte les SMS.
- Une fois installée et pour se faire oublier, l'application possédait la capacité de cacher son icône, ce qui fait qu'elle était impossible à désinstaller.
CONSEQUENCES
De possibles grosses pertes d'argent, non seulement pour l utilisateur/trice, mais AUSSI pour ceux qui figurent dans contacts de l'utilisateur.
Pour une fois l'application a été retirée en 3 heures après discussion entre les chercheurs de Pradeo Security et Google ..
MAIS l'application était déjà connue comme malveillante depuis le 14 décembre !
En effet VirusTotal le 14 décembre l'avait détecté dans 12 moteurs antivirus différents. 5 moteurs sur 12 l'ont explicitement nommés en tant que "Joker".
Le truc c'est que VirusTotal appartient à .. GOOGLE !
Color message1 virustotal.jpg
A comparer avec la date du 17 décembre (ce qui donne une idée de l'efficacité réelle de certains AV) ou est ajouté l'AV de Microsoft
Color message1 virustota2.jpg
En plus les commentaires utilisateurs étaient explicites et ce depuis le tout début du mois de décembre
Color message commentaires.jpg
LE PROBLEME
On nous dit :
Joker appartient à une catégorie de logiciels malveillants connue sous le nom de Fleeceware. Il simule des clics et intercepte des messages texte pour tenter d'abonner subrepticement les utilisateurs à des services premium payants qu'ils n'avaient jamais eu l'intention d'acheter. Joker est difficile à détecter en raison de la faible empreinte de son code et des techniques que ses développeurs utilisent pour le cacher. Au cours des dernières années, le malware a été détecté dans des centaines d'applications téléchargées par des millions de personnes.
La méthode souvent utilisée, étant de fournir une application bien sous tous rapports, mais qui se connectera à un site après une période de temps donnée, téléchargera un fichier de configuration JSON qui pourrait être modifié pour modifier son comportement (comme envoyer des informations quelque part).
Ainsi, l'application peut sembler correcte pendant des mois, puis lors d'une mise à jour, le fichier de configuration sera modifié pour déclencher le comportement néfaste.
Alors OUI, les AV mettent du temps à réagir, mais finissent pas les détecter "relativement" rapidement, donc trop tard aux vues des conséquences
Du côté de chez GOOGLE c'est pire. Non seulement rien n'est détecté, mais en plus ils mettent souvent du temps à retirer de leur magasin les applications incriminées
Le problème n'étant pas qu'une application Android soit vérolée, c'est courant (et ca l'est majoritairement sur les sites tiers, hors magasin Google) MAIS
c'est que Google Play Protect ne fait pas ce que David Kleidermacher, vice-président de la "Sécurité" d'Android prétend qu'il fait, et qu'il est plus soucieux des apparences que de sécurité (Exemple des histoires de Black Hat, liste blanches et autres conneries qui prétendent trouver du racisme dans ces termes)
https://www.infosecurity-magazine.com/n ... black-hat/
Idem avec les promesses du
https://source.android.com/security/rep ... r_2018.pdf
( Livraison obligatoire des mises à jour de sécurité Android dans les 90 jours suivant la publication de Google (30 jours recommandés), pendant au moins trois ans)
On se rappelle également des annonces sur le Google Play Protect dopé à l'IA...
On peut voir son efficacité
https://www.av-comparatives.org/tests/m ... view-2021/
https://www.av-test.org/fr/antivirus/portables/
Donc malgré le fait que nombres de site déconseillent la mise en place d'un AV sur un système Android, on peut quand même noter leur efficacité sauf contre le phishing et nombre d'applications du play store (ou alors avec retard mais au moins si l'appli est considérée comme néfaste elle sera signalée à l' utilisateur, ce que ne fait pas Google)
Néanmoins une fois installée, lors d'une maj de l'appli, l'AV pourrait noter un comportement suspect (ce que ne fait pas Google Protect)
En plus ces AV offrent des modules complémentaires (perso le mien m'indique de suite les appels malveillants, que je peux mettre en liste noire, ce qui fait que les prochains appels ne seront même pas visibles)
Kleidermacher ne s'intéresse qu'à la comparaison des apparences de sécurité avec Apple en tant qu'argument de vente, on est donc dans le marketing pas la sécurité
Pour rappel le 6 mais dernier, Google avait annonce l’arrivée d’une nouvelle section dans sa boutique d’applications pour Android.
https://android-developers.googleblog.c ... -will.html
et (mise à jour)
https://android-developers.googleblog.c ... ction.html
Cela s'apparente en fait avec Apple et son App Tracking Transparency, mais en l’adaptant à l’écosystème Android et aux pratiques de Google.
Concrètement :
Google demande aux développeurs de partager :
- Quel type de données sont collectées et stockées : des exemples d'options potentielles sont l'emplacement approximatif ou précis, les contacts, les informations personnelles (par exemple, le nom, l'adresse e-mail), les photos et vidéos, les fichiers audio et les fichiers de stockage
- Comment les données sont utilisées : des exemples d'options potentielles sont la fonctionnalité et la personnalisation de l'application
Si on prend les contacts et autres données personnelles, il faudra justifier du pourquoi de l'accès, et des mesures qui sont en place pour protéger ces informations.
MAIS tout cela ne sera effectif qu'au 2ème trimestre 2022, ET cela ne concernera QUE les nouvelles applications ET celles qui font l objet d'une mise à jour
Au final, toutes les applications sur Google Play, y compris les propres applications de Google, devront partager ces informations et fournir une politique de confidentialité.
Autre soucis.. Faire disparaitre les applications du store est une chose mais QUID des applications vérolées toujours installées ?
Les utilisateurs ne sont jamais avertis, et ne seront majoritairement JAMAIS au courant (il faut suivre ce type d'actualité)
Celles ci continueront leurs méfaits jusqu'à la prise de conscience de débit sur le compte bancaire (et ensuite il faut savoir identifier la source du problème)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.