200 applications du Google Play Store facturent des services payants sans votre consentement

23 septembre 2022 à 17h35
21
Bug Google Play Store © Shutterstock
© Shutterstock

Le cheval de Troie Harly, découvert par Kaspersky, est distribué par près de 200 applications de Google Play, avec plus de 5 millions de téléchargements à son actif et des souscriptions sans consentement à foison.

Ce n'est pas la première fois que des applications légitimes en apparence piègent des centaines de milliers, voire des millions d'utilisateurs de Google Play, la boutique officielle de la firme de Mountain View. Les experts de Kaspersky ont cette fois annoncé avoir découvert les méfaits du cheval de Troie Harly, qui est parvenu à échapper à la détection des modérateurs de la plateforme.

Des applications légitimes en apparence

Depuis deux ans, plus de 190 applications infectées par le trojan Harly ont été repérées sur Google Play. Une fois rassemblées, elles totalisent environ 4,8 millions de téléchagements, même si cette donnée pourrait être encore plus grande.

Les chevaux de Troie de la famille Harly imitent des applications légitimes, y insèrent du code malveillant et les téléchargent ensuite sur le Play Store de Google, mais sous un autre nom. Screenshots et descriptions accompagnent ces applications, de façon à ce que l'utilisateur ne soupçonne pas les fakes.

Parmi les quelque 200 applications imitées, on retrouve des mini-jeux aux multiples équivalents, des outils de traduction, des écrans d'appel colorés ou encore des lampes torches.

Le trojan agit discrètement et à l'insu de l'utilisateur

Dès que l'utilisateur lance l'application malveillante, le cheval de Troie entame sa mission et lance sa collecte d'informations sur l'appareil et le réseau mobile de la victime. De là, le smartphone bascule vers un autre réseau mobile, puis le malware demande au serveur C&C (qui, rappelons-le, ouvre un canal de communication discret entre l'appareil et la plateforme contrôlée par le hacker) de configurer la liste des abonnements auxquels il faut s'inscrire.

Harly Trojan applications © Kaspersky
Exemples d'applications sur Google Play contenant des logiciels malveillants Harly © Kaspersky

Harly ouvre alors le lien de l'abonnement dans une fenêtre invisible pour le propriétaire du smartphone. Il saisit depuis cette dernière le numéro de téléphone de l'utilisateur, qu'il a réussi à récupérer un peu plus tôt, appuie sur les boutons requis et tape ensuite le code de confirmation provenant d'un SMS. L'utilisateur, sans en avoir conscience, souscrit alors un abonnement payant.

Là où Harly est brillant, c'est qu'il est capable de confirmer des abonnements souscrits même lorsqu'ils nécessitent une vérification par appel téléphonique. Le trojan émet ici un appel via un numéro spécifique et confirme l'abonnement.

Des applications infectées qui pourtant fonctionnent !

Pour les modérateurs du Google Play Store, il est d'autant plus difficile de repérer ces applications qu'elles livrent bien le service compris dans leur description. L'application BinBin Flash censée être une lampe de poche possède bien cette fonctionnalité !

Selon Kaspersky, ce cheval de Troie ne fonctionne qu'avec les opérateurs thaïlandais, mais d'autres indices suggèrent que les développeurs des logiciels malveillants sont situés en Chine.

Harly Trojan © Kaspersky
Une application à l'apparence légitime ne doit pas vous dissuader de lire les avis © Kaspersky

Le conseil peut paraître bête et futile, mais pensez bien, même en cas de note flatteuse, à toujours lire un certain nombre d'avis d'utilisateurs, qui souvent alertent sur des applications illégitimes repérées.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
21
16
Trophyman900
J’ai la solution a tous ces soucis de prélèvements, je n’ai pas renseigné un moyen de payement.
cid1
Pour finir, on ne pourra plus utiliser son smartphone correctement, s’il faut se méfier de la moindre Appli Google Play…<br /> Je vais finir par me racheter un feature phone.<br /> Mais bon, n’ayant installé que WhatsApp sur mon smartphone…
cid1
" je n’ai pas renseigné un moyen de payement."<br /> Moi non plus.
Bestdoud
Des fois sa facture sur le forfait je pense
Pronimo
Par rapport a l’application flashlight en illustration, c’est quelque chose que la plupart des terminaux ont en bouton natif via la barre de raccourcis. Mais bon, en tout cas chez moi, le constructeur a fait l’effort lol.
Trophyman900
Je suis chez Free et il faut faire la demande sur sa page, sinon pas possible.
bmustang
quel connerie d’accepter d’enregistrer sa CB sur son compte google, encore une belle entourloupe
Yorgmald
Je vois souvent ce type de nouvelle en liens avec Android et quasiment jamais avec IOS, on peut donc en déduire que l’un est plus secur que l’autre.<br /> Attention je ne dis pas qu’il n’y a pas de faille sur celui qui semble plus secur, mais on semble plus tranquille et serein avec.<br /> Est-ce la réalité ou simplement un choix de ne pas parler de tout le monde?
Titan
D’enregistrer sa CB tout court, même
jvachez
Je pense que ce sont des abonnements prélevés sur la facture téléphonique pas sur Google Play.
Trophyman900
Sous IOS c’est plus subtile, beaucoup d’apps sont retirés mais Apple ne fait pas de pub. Le principe est simple: Apple contrôle toujours la version initiale mais jamais les mises à jours, il suffit de faire 2,3 MaJ et d’injecter le malware, le temps que les utilisateurs réalisent et qu’Apple supprime l’app les dégâts sont la. Il y a une une app de gestion de cryptomonnaies qui a pirater pas mal de compte sous IOS avant d’être supprimée par exemple. Beaucoup font trop confiance au marketing d’Apple.<br /> Sous Android la plupart des utilisateurs savent que le système du PlayStore n’est pas très fiable donc ils utilisent leurs cerveaux et ne téléchargent le plus souvent, tu aura toujours des neuneus comme sous IOS d’ailleurs qui téléchargent tous et n’importe quoi, des apps de développeurs réputés.
Trophyman900
Comme je l’ai écris plus haut chez Free il faut le valider, pas comme certains fournisseurs ou c’est validé par défaut.
Squeak
Je connais quelqu’un à qui c’est arrivé : des petits débits sur son relevé bancaire, elle se demandait d’où ça pouvait venir, il s’avère que c’était un petit jeu qui avait l’air tout innocent…<br /> Sinon c’est vrai qu’il faut vraiment se méfier de beaucoup d’applications sur le Play Store au point que l’on installe plus que les applis de base ou celles qui sont vraiment réputées.
jeroboam64
Je suis aussi chez free et j’ai désactivé le paiement du playstore et jamais enregistrer la cb car la c’est se chercher des ennuis…
mart666
Coudonc, on va commencer à l’appeler google junk store leur affaire !!
TAURUS31
Est ce que au moins certains (voir tout les commentaires au dessus) ont lu l’article du début à la fin?<br /> Surtout le passage qui dit : concerne seulement les utilisateurs Thaïlandais ?
Orezzo
on voit bien que la cible de toutes ces app c’est les ados<br /> Des apps inutiles futiles mais cools pour les djeuns<br /> Si vous voulez un store qui respecte l’utilisateur sans apps kikoolol<br /> c’est ici<br /> f-droid.org<br /> | F-Droid - Free and Open Source Android App Repository<br /> F-Droid is an installable catalogue of FOSS (Free and Open Source Software) applications for the Android platform. The client makes it easy to browse, install, and keep track of updates on your device.<br /> sans OGM
Cloud
F-Droid ?! Déjà que Google travaille d’arrache-pied contre les virus dans leurs magasin officiel et malgré cela il y a des failles, et vous vous demandez d’aller dans un magasin alternative dont Google Android n’a pas la main .
Orezzo
Il faudrait sortir de ce monde utopique ou Google est le bien et tout ce qui fait pour vous est bien.<br /> Google travaille d’arrache-pied quand il voit que la mousse du bain devient trop importante<br /> et pour ceux qui ont un esprit curieux auront tapé f-droid dans Duckduckgo
Cloud
Je n’ai jamais dis que Google est un saint au contraire , je dis juste que Google qui travaille sur Android a plus les moyens de gérer un magasin qu’un tiers qui n’a pas la main sur Android
max_971
ça fonctionne sur les forfaits bloqués ?<br /> Heureusement que je n’enregistre pas ma CB dans mon smartphone qu’elle soit super sécurisée ou non.
juju251
Cloud:<br /> F-Droid ?! Déjà que Google travaille d’arrache-pied contre les virus dans leurs magasin officiel et malgré cela il y a des failles, et vous vous demandez d’aller dans un magasin alternative dont Google Android n’a pas la main .<br /> Même si ce n’est jamais une garantie absolue de sécurité, le magasin d’applications F-Droid est dédié à des applications libres et à code source ouvert.<br /> C’est à dire qu’il est possible de consulter le code sources desdites applications pour par exemple vérifier qu’elles ne réalisent pas d’opération non sollicitées par l’utilisateur.<br /> Certaines applications du Google Play store sont libres, mais c’est très loin d’être la majorité.
Voir tous les messages sur le forum

Derniers actualités

Fake news et réseaux sociaux s'invitent encore dans les élections brésiliennes
Intel annonce le Core i9-13900KS pour début 2023 : un processeur à 6 GHz !
De Facebook à Insta, et inversement : comment Meta va rendre le passage de l'un à l'autre bien plus facile
XeSS : le concurrent Intel du DLSS fait ses débuts sur Shadow of the Tomb Raider
Finalement, les anciens iPad Pro auront une version bridée du multitâche Stage Manager
Les Arc A770 d'Intel arrivent ! Vous comptiez acheter une carte graphique ? Attendez !
Le casque gamer Corsair sans fil est à moins de 50€ !
Profitez de l'aspirateur robot Roborock S7 au meilleur prix avec ce code promo
Pornographie : les 23 propositions du Sénat pour mieux encadrer une industrie à la dérive
Final Space, c'est fini, et la série disparaîtra même si vous l'avez achetée en VoD sur Amazon
Haut de page