Éditeur de solutions de sécurité, Pradeo a découvert la présence sur Google Play de deux applications Android malveillantes qui ont cumulé plus de 1,5 million de téléchargements. Suite au signalement à Google, elles ont été supprimées du Google Play Store.

Les deux applications se nomment File Recovery & Data Recovery et File Manager. Elles sont identifiées en tant que com.spot.music.filedate et com.file.box.master.gkd. Leur retrait est intervenu après 15 jours de disponibilité et 12 heures après le signalement à Google.

spyware-identification-pradeo

Ces applications se présentaient donc comme des applications de gestion et de restauration de fichiers. Leur aspect malveillant a été mis au jour par le moteur d'analyse comportementale de la solution de sécurité mobile de Pradeo.

Un étrange recueil de données passé sous silence

En matière de sécurité des données, le développeur avait indiqué que les applications ne recueillaient aucune donnée. Pourtant, Pradeo détaille une programmation des deux applications pour l'exfiltration de données potentiellement sensibles.

En l'occurrence, les listes de contacts des utilisateurs depuis l'appareil et des comptes connectés (e-mail, réseaux sociaux…), les contenus gérés ou récupérés par les applications (images, vidéos, audio), la localisation en temps réel, des informations sur l'opérateur, le modèle de l'appareil et le système d'exploitation.

Le recueil de certaines de ces données peut être légitime pour le bon fonctionnement et les performances d'une application. Sauf que leur recueil était ici passé sous silence et sans nécessairement un rapport avec le type des applications.

spyware-identification-pradeo

Des serveurs malveillants en Chine

Pradeo ajoute que les deux applications cachaient leurs icônes sur l'écran d'accueil pour rendre plus difficile leur désinstallation. Grâce à des autorisations avancées obtenues, elles pouvaient provoquer un redémarrage, dans le but d'être lancées et exécutées automatiquement par la suite.

Si les applications affichaient un nombre d'utilisateurs conséquent, il n'y avait pourtant pas d'avis sur Google Play Store. Les données exfiltrées à l'insu de l'utilisateur étaient envoyées vers divers serveurs malveillants, principalement basés en Chine.