Fausse application à gauche, réelle à droiteDans le catalogue Google Play, il est tout à fait possible d'enregistrer une application malveillante et de la distribuer à un large public d'utilisateurs de smartphones Android. Cela était connu auparavant, et maintenant une autre confirmation: plus d'un million d'utilisateurs ont téléchargé la fausse application WhatsApp à partir du répertoire «protégé» et «sûr».
Il en aurait téléchargé plus, mais le 3 novembre 2017, de faux utilisateurs de Reddit ont
découvert le faux. Bien sûr, après cela, l'application a été supprimée du répertoire.
Une application appelée Update WhatsApp Messenger en elle-même a demandé des autorisations minimales (uniquement accès à Internet), mais en fait, c'est un wrapper publicitaire pour cette application, c'est-à-dire qu'il s'agit d'un malware de type wrapper publicitaire.
La
capture d'écran montre que le programme s'enregistre au démarrage.
La capture d'écran ci-dessous montre le code du programme, qui, apparemment, est responsable du téléchargement du vrai client WhatsApp Android. Il est également appelé
whatsapp.apk .
Les développeurs ont utilisé une astuce pour usurper l'identité de la société d'origine WhatsApp Inc. Comme vous pouvez le voir dans la capture d'écran suivante, à la fin du nom de la société WhatsApp Inc. deux octets sont ajoutés: 0xC2 0xA0, qui forment un espace invisible. Ainsi, il semble que le développeur soit réel.
Après l'installation sur un smartphone, le programme essaie de cacher les traces de son existence, il n'a pas de nom enregistré dans le système et une icône vide transparente. Dans la liste des applications, cela ressemble à ceci:
Le malware ne fait rien de particulièrement dangereux sur le téléphone, à l'exception de l'affichage de publicités ennuyeuses. Voici quelques captures d'écran du programme en cours d'exécution et de l'écran de sélection du serveur de mise à jour:
1 ,
2 ,
3 ,
4 . À en juger par l'interface, les développeurs n'ont pas utilisé les services d'un designer, et eux-mêmes n'avaient pas le goût le plus parfait en termes de choix de couleurs pour le design.
Tous les utilisateurs ne comprendront pas immédiatement d'où vient la publicité sur l'écran du smartphone et quel programme doit être supprimé. L'application dispose de tous les droits sur le système, si l'utilisateur l'a personnellement installé. De plus, ce wrapper publicitaire a téléchargé et installé la véritable application WhatsApp, il n'est donc pas immédiatement évident qu'il a lui-même continué à travailler sur le système.
On peut supposer que les escrocs ont gagné beaucoup en accrochant un tel cheval de Troie sur les téléphones de plus d'un million d'utilisateurs. S'ils ont réussi à gagner au moins quelques dollars de chaque appareil en affichant des bannières, alors plusieurs millions de dollars sortiront.
Diffuser le programme sur un million de smartphones Android ou plus est très difficile d'une manière différente, sauf via le catalogue officiel de Google Play. Les utilisateurs croient naïvement qu'ils sont protégés contre les logiciels malveillants ici. Google lui-même dans la description de l'antivirus Play Protect
dit que «la sécurité de toutes les applications Android est soigneusement vérifiée avant leur apparition sur le Google Play Store. Nous testons chaque développeur sur Google Play et bloquons ceux qui enfreignent nos règles. Donc, même avant de télécharger l'application, vous savez qu'elle a été vérifiée et approuvée. » Play Protect Anti-Virus analyse quotidiennement 50 milliards d'applications pour s'assurer que rien de suspect n'apparaît dans les nouvelles versions des programmes après la mise à jour.
Comme vous pouvez le voir, cette protection ne fait pas très bien ses tâches. Au moins, cette enveloppe publicitaire a réussi à éviter la détection par le scanner Play Protect.
En septembre 2017, les experts de Google ont parlé
du système d'IA utilisé dans l'antivirus Play Protect. Pour la formation d'un réseau neuronal, la télémétrie est également utilisée à partir des appareils des utilisateurs: statistiques sur le nombre d'installations et de désinstallations de programmes, comportement des programmes, etc. Mais l'entreprise a même alors reconnu que l'IA n'avait pas encore terminé le processus de formation, même si des progrès étaient évidents. Si au printemps 2017, il n'a pu déterminer correctement que 5% des logiciels malveillants à partir de l'échantillon de test, alors en septembre, le chiffre est passé à 55%. Les développeurs ont déclaré qu'en raison de l'activité antivirus de Google, la part des utilisateurs d'Android dont les smartphones ont installé une sorte de malware a diminué au cours de l'année. Au début de l'année, il y avait 0,6%, et en septembre - 0,25%. Ainsi, la sécurité antivirus sur les appareils Android est bien meilleure que sur les ordinateurs de bureau, selon les experts de Google.