Un SDK vérolé introduit un spyware dans plus de 500 applications Android

Sécurité : Les chercheurs de la société Lookout ont identifié un SDK publicitaire utilisé dans de nombreuses applications pour diffuser des pubs. Mais celui-ci disposait également de fonctionnalités l’apparentant à un malware et permettant notamment le vol de données personnelles.

Google serre la vis sur son Play store et il devient de plus en plus difficile pour les cybercriminels de faire passer des applications malveillantes sur la plateforme de téléchargement d’Android. Mais après tout, pourquoi s’attaquer au Play Store quand on peut s’attaquer aux développeurs ? La société Lookout alerte ainsi sur un SDK (Software Development Kit) largement utilisé par les développeurs pour insérer de la publicité dans leurs applications. Celui-ci, connu sous le nom de Igexin, était utilisé par plus de 500 applications disponibles sur le Play store et celles-ci cumulent au total plus de 100 millions de téléchargements.

 

Tromper la vigilance de Google et des développeurs

Les chercheurs sont parvenus à identifier le SDK fautif en analysant le trafic sortant de plusieurs téléphones utilisant des applications affectées par celui-ci. Les téléphones contactaient en effet des serveurs ayant été précédemment utilisés pour distribuer des malwares. Cette particularité se retrouvait sur plusieurs modèles de téléphones et les chercheurs ont donc cherché à en découvrir l’origine.

Le dénominateur commun était la présence du SDK Igexin sur les téléphones fautifs. Ce SDK se présente comme un outil utilisé par les développeurs pour afficher de la publicité et des données comportementales. Mais il permet également de faire bien plus. Celui-ci permet en effet d’abuser des permissions conférées à l’application et de télécharger des mises à jour malveillantes depuis un serveur tiers et inconnu des développeurs de l’application.

La dangerosité de cette méthode dépend au final des permissions laissées à l’application contaminée : dans les cas les plus inquiétants, Lookout explique avoir repéré des applications téléchargeant un module utilisé pour enregistrer les données d’appel de la victime (numéro appelé, durée de la conversation, etc… ) et les exfiltrer vers des serveurs inconnus.

Lookout explique avoir contacté Google au sujet de ce SDK et les applications concernées ont été retirées ou mises à jour afin de retirer le SDK malveillant. Comme le montre Lookout, cette technique présente de nombreux avantages : ni les développeurs, ni les utilisateurs, ni Google ne sont en mesure de détecter ce type d’attaque qui prend place à travers des mises à jour malveillantes des applications affectées par le SDK.

Un SDK vérolé introduit un spyware dans plus de 500 applications Android

Source : L’article << Un SDK vérolé introduit un spyware dans plus de 500 applications Android >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:28:42+00:00

Laisser un commentaire