Si les malwares proposés en téléchargement via des APK sont très en vogue, voir l'actualité : Android.Trojan.Marcher.A : Fausse campagne Chronopost et Virus gendarmerie sur Android ( Koler,Browlock, etc ).
Lorsque des applications malicieuses arrivent à passer les filets et sont disponibles dans les Apps Store, c'est en général, le jackpot puisque cela garanti des milliers de téléchargement et donc de téléphones/tablettes infectés.
Côté Apple, la première actualité concerne un malware du nom de XcodeGhost, ce dernier aurait été trouvé dans environ 39 Applications dont WeChat qui a été téléchargé par des millions d'utilisateurs.
Des développeurs auraient utilisé une version virusée de Xcode téléchargé depuis des serveurs chinois, en effet, les serveurs Apple étant seulement disponibles aux USA, des problèmes de vitesse de connexion se posent.
Les développeurs tentent alors de télécharger des versions sur des serveurs chinois et sont tombés sur des versions modifiées de Xcode.
XcodeGhost permet de récupérer des informations systèmes et d'afficher de fausses pages de dialogue afin de récupérer des mots de passe ou contenu dans le presse papier.
- Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store
- Update: XcodeGhost Attacker Can Phish Passwords and Open URLs through Infected Apps
- Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users
La campagne aurait débutée fin 2013 et est restée inaperçu pendant 1 an et demi.
Les utilisateurs les plus touchés se trouvent en Inde.
Pour contourner les détections mises en place dans Google Play (Bouncer), le malware est téléchargé et proposé à l'installation 24h après l'installation de l'application/jeu, lorsque le type de connexion 4G <=> Wifi change.
Le malware est capable de faire installer de nouvelle application, changer l'ID de l'éditeur des publicités (par exemple pour les remplacer par les siennes afin de gagner de l'argent), retirer les droits d'administrateurs etc.
En 2012, Google avait mis en place Google Bouncer, un système qui scanne les applications et les comptes des développeurs sur Google Play.
Dans le cas de cette campagne Android/TrojanDropper.Mapin, le fait que le malware s'installe 24h après lors d'un changement de connectivité a probablement fait que Google Bouncer n'a rien vu.
Mars 2015, Google avait annoncé que des validations humaines seraient ajoutés au processus de validation des applications/comptes Google Play.
Comme toujours dans le monde des malwares, c'est le jeu du chat et de la souris et parfois la souris passe.
Malgré les protections mises en place par les Google/Apple, il est à peu près certains que régulièrement des actualités de ce type sur des malwares mises en ligne reviendront régulièrement.
Plus d'informations sur les menaces informatiques sur Android : Les virus sur Android.