Les virus parviennent à ne pas être détectés pendant l'étape de validation par Google. © Geralt, Pixabay

Tech

Android : attention à ce virus qui vous abonne à des services payants

ActualitéClassé sous :informatique , Android , malware

Depuis 2017, le malware Joker infecte des applications Android, et onze d'entre elles continuent de piéger les utilisateurs en les forçant à s'abonner à des services payants. Cette nouvelle variante parvient à passer outre les étapes de validation et de sécurité de Google.

Le jeu du chat et la souris continue entre les pirates et le Google Play puisque la société Check Point a découvert de nouvelles traces de Joker, un malware identifié en 2017, et que l'on pensait éradiqué. Sa spécialité ? Se cacher dans des applications classiques et populaires pour activer le paiement à des services « in-app », comme des options payantes. Le tout à l'insu de l'utilisateur.

Ce jeudi, les experts en sécurité de Check Point ont ainsi découvert sa présence dans onze applications, et elles cumulent 500.000 téléchargements. Le plus inquiétant, c'est bien évidemment que ces onze applications soient disponibles depuis le Play Store. Cette variante de Joker a trouvé un nouveau moyen de jouer les chevaux de Troie pour se cacher dans les applications, et ainsi ensuite s'incruster dans le smartphone. Le malware se cache dans le fichier manifeste que chaque développeur doit intégrer à son application, et placé à la racine du dossier de l'application. On y trouve des informations sur l'auteur, le logo, la version, etc.

La partie de code en vert cache les commandes pour activer le malware. © Check Point

Le malware se cache pendant la phase de validation 

Dans ce fichier, Joker y place du code malveillant, mais il est codé en base 64, et donc non identifiable. Pendant que Google examine le fichier de l’application pour sa validation, le code est inactif. Dès que la validation est effective et que les contrôles de sécurité sont passés, alors le serveur des pirates lance la commande cachée dans ce code et le malware peut ainsi s'activer.

Alerté, Google a immédiatement supprimé ces applications de sa boutique, mais il est évidemment recommandé de les désinstaller. Il s'agit de ImageCompress, WithMe Texts, FriendSMS, Relax Relaxation, Cherry Messages, LovingLove Message, RecoveFiles, RemindMe Alarm et Training Memory Game. Il est aussi conseillé de regarder son compte bancaire et de vérifier qu'il n'y a pas eu de prélèvements frauduleux.

Cela vous intéressera aussi
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !