Les experts en sécurité de Lookout Security Intelligence ont mis au jour un SDK publicitaire baptisé Igexin et intégré dans plusieurs centaines d'applications mobiles légitimes du portail Google Play qui permettait à l'occasion d'installer un spyware sur les smartphones et tablettes.
Igexin permettait d'installer sur les appareils un plugin espionnant les actions des utilisateurs et, dans le cas présent, ce sont au moins 500 applications qui sont concernées, avec un élément inquiétant : elles ont été téléchargées plus de 100 millions de fois.
Elles concernaient des jeux (dont l'un téléchargé plus de 50 millions de fois), des applications météo (dont une téléchargée plus de 1 million de fois), des webradios, des éditeurs photo (dont l'un téléchargé plus de 1 million de fois) ou encore des applications utilitaires.
Si les SDK publicitaires ne sont pas une menace en soi et aident les développeurs à exploiter des régies publicitaires en principe pertinentes selon le profil des utilisateurs, les chercheurs de Lookout ont repéré avec Igexin de douteux trafics de données vers des serveurs servant à diffuser des malwares.
Ils ont notamment observé le téléchargement de fichiers chiffrés depuis Igexin permettant l'installation a posteriori de malwares en contournant les mécanismes de surveillance habituels détectant la présence de logiciels malveillants dans les applications soumises au sein du Google Play.
Toutes les versions du SDK publicitaire Igexin ne sont pas concernées et toutes les applications intégrant les versions permettant l'intégration d'une backdoor n'ont pas été activées. Par ailleurs, les principales informations collectées par ce moyen semblent avoir été les journaux d'appels.
Google a réagi en purgeant son portail des applications concernées qui ont pu depuis refaire leur apparition sans les versions problématiques du SDK publicitaire Igexin.