Des dizaines de faux guides de jeux installent sur les smartphones Android des malwares capables d’afficher des pubs intempestives et de prendre le contrôle de l’appareil.

Attention à ce que vous téléchargez sur le magasin d'applications de Google. Les chercheurs en sécurité de Check Point y ont récemment découvert plus d’une quarantaine de fausses applications mobiles. Elles s’apparentent à des guides de jeux, mais sont en réalité des malwares qui enrôlent les terminaux dans un botnet.

Baptisées « FalseGuide » par Check Point, ces applications ont été téléchargées près de 2 millions de fois en l’espace de cinq mois. Elles n’ont pas été détectées par Google car l’application téléchargée est, en tant que telle, inoffensive. Néanmoins, ce qui devrait mettre la puce à l’oreille de l’utilisateur, c’est qu’elle demande des droits administrateurs, ce qui n’est pas habituel.



Dans un second temps, l’appli va se connecter à un système de messagerie applicative appelé Firebase Cloud Messaging, également géré par Google. Ce qui lui permet de recevoir des liens de téléchargement pour obtenir le module malveillant.

Les chercheurs ont réussi à mettre la main sur l’un de ces modules. Après installation, il démarre un processus en arrière-plan qui fait s'afficher des fenêtres de pubs intempestives. Mais d’autres usages malveillants sont possibles. « Ces modules peuvent contenir du code permettant de rooter le terminal, de réaliser une attaque DDoS ou même de pénétrer un réseau local », soulignent Check Point dans une note de blog.

Alerté par Check Point, Google a supprimé toutes ces applications. Toutefois, elles sont sans doute encore installées sur les smartphones. Une liste de noms de ces applications malveillantes est disponible sur le site de Check Point. On y trouve des guides pour Fifa Mobile, pour LEGO Nexo Knights, pour Pokémon Go, pour Ninja Tournament, pour Hungry Shark World ou pour Shadow Fight. Mieux vaut vérifier. Le cas échéant, il faut supprimer immédiatement ce type d’application.

Une appli lampe torche qui vole les données bancaires

Les chercheurs d’Eset ont récemment découvert un autre malware sur Google Play. Baptisé « Flashlight », il s’agit d’un cheval de Troie camouflé en application lampe torche. Là encore, le logiciel demande les droits d’administrateur. Une fois installé, il cherchera à voler les données bancaires de la victime, en affichant de faux écrans, en interceptant les SMS ou en envoyant de fausses notifications.

La désinstallation du malware n’est pas évidente et nécessite de démarrer le système en mode sécurisé (Safe Mode). Les chercheurs d’Eset ont réalisé une vidéo YouTube qui explique pas à pas comment il faut procéder. Flashlight a été téléchargé plus de 5000 fois avant d’être retiré du Google Play Store le 10 avril.