Google Play Store : de grosses failles de sécurité exposées par une application de PDF vérolée

 
Le média espagnol Xataka Android met en évidence une faiblesse importante du Play Protect en découvrant qu’une application PDF sur le Play Store berne la sécurité de Google avec un subterfuge assez basique.
Play Protect sur le Play Store
Le programme Play Protect sur le Google Play Store // Source : Frandroid

Le programme Play Protect a pour vocation de protéger le Play Store. Google travaille régulièrement à son optimisation pour s’assurer que les utilisateurs ne tombent pas sur des applications vérolées et des malwares. Hélas, aucun système de sécurité n’est infaillible et les découvertes du site espagnol Xataka Android viennent à nouveau prouver cette vérité.

Le média s’est en effet rendu compte que, parmi les applications les plus téléchargées en Espagne, celle classée à la 169 place cherche à piéger ses utilisateurs. Il s’agit d’une app permettant de lire des PDF sur son smartphone. Nous avons pu la retrouver et constater qu’elle avait été téléchargée plus de 10 000 fois. Ce n’est donc pas un énorme carton, mais le nombre de personnes concernées et exposées est suffisamment important pour alerter. Surtout, cela expose de sérieux défauts dans Play Protect.

Un faux Flash Player pour voler vos données

Xataka Android s’est rendu compte qu’après avoir installé ladite application PDF, l’interface n’avait rien à voir avec les captures d’écran affichée sur le Play Store. Il s’agit là déjà d’une première alerte, mais ce n’est pas la seule. D’emblée, le service demande l’autorisation d’installer une mise à jour via un fichier APK qui prétend être Flash Player.

Les utilisateurs un peu avertis devraient déjà sentir qu’il y a un loup puisque le véritable Flash Player n’est plus supporté sur Android depuis 2012 — et plus récemment sur Windows 10. Les personnes plus néophytes peuvent se faire avoir.

Ce malware Android veut se faire passer pour Flash Player
Ce malware Android veut se faire passer pour Flash Player // Source : Xataka Android

Vous l’aurez compris, c’est cet APK qui cache un malware. Xataka Android explique qu’il s’agit d’un trojan (cheval de Troie) cherchant à voler les identifiants bancaires de la victime.

Play Protect ne devrait pas tomber dans ce piège

En ouvrant le faux Flash Player ainsi installé, cette application va beaucoup insister pour que l’utilisateur lui donne accès aux services d’accessibilité. Ces fonctions sont très pratiques pour les personnes en situation de handicap, mais il faut aussi savoir que ces options peuvent donner aux apps la possibilité de lire et interagir avec tout ce qui est affiché à l’écran. Autant dire que si un malware dispose de ces accès, il devient très dangereux.

Le trojan de l’application PDF mis en lumière par Xataka Android demande par ailleurs aussi l’accès aux contacts, SMS et téléphone.  Le média espagnol a extrait l’APK et l’a soumis à l’analyse du site spécialisé VirusTotal. Résultat : 13 antivirus détectent un malware. À l’inverse, en passant par l’outil de Play Protect, aucune menace n’est repérée, même pas sur le faux Flash Player.

Sur VirusTotal, le malware est mis en lumière
Le malware est mis en lumière par plusieurs antivirus // Source : VirusTotal

Certes, on peut penser qu’un nombre assez faible de personnes se laisseront avoir en voyant le logo Flash Player. Néanmoins, on peut se poser des questions sur l’efficacité du programme Play Protect qui ne devrait pas se faire avoir par un stratagème a priori peu élaboré. Cela n’augure pas de bonnes choses face à des malwares plus sophistiqués.

Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !


Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.

Les derniers articles