Le cheval de Troie Harly, découvert par Kaspersky, est distribué par près de 200 applications de Google Play, avec plus de 5 millions de téléchargements à son actif et des souscriptions sans consentement à foison.
Ce n'est pas la première fois que des applications légitimes en apparence piègent des centaines de milliers, voire des millions d'utilisateurs de Google Play, la boutique officielle de la firme de Mountain View. Les experts de Kaspersky ont cette fois annoncé avoir découvert les méfaits du cheval de Troie Harly, qui est parvenu à échapper à la détection des modérateurs de la plateforme.
Des applications légitimes en apparence
Depuis deux ans, plus de 190 applications infectées par le trojan Harly ont été repérées sur Google Play. Une fois rassemblées, elles totalisent environ 4,8 millions de téléchagements, même si cette donnée pourrait être encore plus grande.
Les chevaux de Troie de la famille Harly imitent des applications légitimes, y insèrent du code malveillant et les téléchargent ensuite sur le Play Store de Google, mais sous un autre nom. Screenshots et descriptions accompagnent ces applications, de façon à ce que l'utilisateur ne soupçonne pas les fakes.
Parmi les quelque 200 applications imitées, on retrouve des mini-jeux aux multiples équivalents, des outils de traduction, des écrans d'appel colorés ou encore des lampes torches.
Le trojan agit discrètement et à l'insu de l'utilisateur
Dès que l'utilisateur lance l'application malveillante, le cheval de Troie entame sa mission et lance sa collecte d'informations sur l'appareil et le réseau mobile de la victime. De là, le smartphone bascule vers un autre réseau mobile, puis le malware demande au serveur C&C (qui, rappelons-le, ouvre un canal de communication discret entre l'appareil et la plateforme contrôlée par le hacker) de configurer la liste des abonnements auxquels il faut s'inscrire.
Harly ouvre alors le lien de l'abonnement dans une fenêtre invisible pour le propriétaire du smartphone. Il saisit depuis cette dernière le numéro de téléphone de l'utilisateur, qu'il a réussi à récupérer un peu plus tôt, appuie sur les boutons requis et tape ensuite le code de confirmation provenant d'un SMS. L'utilisateur, sans en avoir conscience, souscrit alors un abonnement payant.
Là où Harly est brillant, c'est qu'il est capable de confirmer des abonnements souscrits même lorsqu'ils nécessitent une vérification par appel téléphonique. Le trojan émet ici un appel via un numéro spécifique et confirme l'abonnement.
Des applications infectées qui pourtant fonctionnent !
Pour les modérateurs du Google Play Store, il est d'autant plus difficile de repérer ces applications qu'elles livrent bien le service compris dans leur description. L'application BinBin Flash censée être une lampe de poche possède bien cette fonctionnalité !
Selon Kaspersky, ce cheval de Troie ne fonctionne qu'avec les opérateurs thaïlandais, mais d'autres indices suggèrent que les développeurs des logiciels malveillants sont situés en Chine.
Le conseil peut paraître bête et futile, mais pensez bien, même en cas de note flatteuse, à toujours lire un certain nombre d'avis d'utilisateurs, qui souvent alertent sur des applications illégitimes repérées.
