Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités ExpensiveWall : le malware Android qui s'est invité sur le Google Play Store

Publié le 14 septembre 2017 à 16:30 par Christian D.

Lire sur mobile

Les experts en sécurité de Check Point mettent en garde contre ExpensiveWall, un malware Android caché dans certaines applications présentes sur le Google Play Store et téléchargées plusieurs millions de fois.

Malgré l'ajout de sécurités et le screening des applications mobiles entrant dans le portail Google Play Store, il arrive que certains malwares parviennent à déjouer les mailles du filet.

C'est le cas de ExpensiveWall, un malware Android repéré par les chercheurs de Check Point et caché dans des applications diffusées sur le portail de téléchargement, parfois téléchargées plusieurs millions de fois.

Lovely Wallpaper, application infectée d'où ExpensiveWall tire son nom

Une cinquantaine d'applications auraient été concernées (avant d'être retirées) et auraient été téléchargées entre 1 et 4 millions de fois. Check Point note que dans les jours qui ont suivi le retrait d'une première application infectée, une seconde application a été diffusée sur le portail, permettant d'infecter 5000 appareils mobiles avant un nouveau retrait.

Des applications infectées dans le Google Play Store

ExpensiveWall parvient à tromper les sécurités de Google en utilisant une technique de masquage au sein des applications mobiles qui servent de véhicules. Le malware a ensuite besoin de permissions pour agir mais il les obtient lorsque l'utilisateur valide les permissions de l'application mobile, qui semblent à première vue légitimes, surtout dans l'espace de confiance représenté par le Google Play Store.

L'un des problèmes est que même après son retrait, le malware peut rester actif sur les appareils Android les plus anciens, faute d'être compatibles avec les outils de protection les plus récents de Google.

SMS surtaxés

Une fois en place, il récupère des données personnelles commel l'identifiant et le numéro de téléphone pour envoyer des SMS surtaxés via du code javascript. S'il s'agit de son objectif principal dans les exemples repérés par Check Point, il pourrait tout aussi bien embarquer une charge malicieuse capable de prendre un contrôle à distance du smartphone infecté.

Bien que discret, le comportement du malware a tout de même été repéré par divers utilisateurs qui ont laissé des commentaires assassins. L'origine d'ExpensiveWall proviendrait d'un SDK baptisé gtk et intégré dans certaines applications.

Source : Check Point