Selon AV-Comparatives, un organisme de test indépendant, il existe des différences significatives dans le niveau de protection fourni par les solutions de sécurité mobile. Cependant, même les plus pauvres d'entre eux s’avèrent être encore bien meilleurs que les applications douteuses qui se font passer pour des applications de sécurité afin d'afficher des publicités aux utilisateurs. Trente-cinq de ces applications ont récemment été découvertes dans le magasin officiel d'applications Android de Google Play.
Ces applications ont pu passer sous le radar pendant quelques années, alors que les statistiques de Google Play montrent qu’elles ont obtenu au minimum plus de six millions d'installations cumulatives. Cependant, toutes ces installations n'étaient pas nécessairement réelles : c'est pratique courante de faire de faux téléchargements par des robots qui publient par la suite des critiques positives et améliorent les évaluations de leurs applications respectives.
Toutes les 35 applications ont été signalées par ESET et ont depuis été retirées du Google Store.
Figure 1 - Les 35 applications en question sur Google Play
En plus de contrarier leurs victimes avec des publicités, ces applications camouflées en logiciels de sécurité ont aussi de sérieux effets secondaires négatifs. En imitant les fonctions de sécurité de base - en fait, elles agissent toutes comme des vérificateurs de sécurité très primitifs, s’appuyant sur quelques règles triviales codées en dur – ces applications détectent souvent les applications légitimes comme malveillantes. Enfin, elles entraînent un faux sentiment de sécurité chez les victimes, ce qui peut les exposer à des risques réels liés à des applications malveillantes qui ne sont pas détectées en tant que telles.
L'analyse d'ESET a montré que parmi ces 35 applications, seulement quelques-unes se distinguent par leurs caractéristiques spécifiques. Une de ces applications n'est pas totalement gratuite, puisqu'elle offre une mise à niveau payante. Une autre a implémenté un gestionnaire de verrouillage d'applications primitif, facilement contournable. Une troisième application signale les autres applications de ce groupe comme dangereuses par défaut. Finalement, l'une d'entre elles utilise à mauvais escient l'image de marque d'ESET.
Figure 2 - Une des 35 applications détectant d'autres applications similaires comme étant hautement risquée
Figure 3 - L'une des applications se signalant elle-même comme étant à haut risque.
Figure 4 - Une des applications offrant une version pour professionnels
Fonctionnalité d'imitation de sécurité
Afin de demeurées indétectées, toutes ces applications publicitaires douteuses imitent les solutions de sécurité mobile actuelles. Cependant, leurs « mécanismes de détection » sont incomplets et très primitifs, ce qui les rend faciles à contourner et sujets aux faux positifs.
Notre recherche sur ces applications questionnables a montré que leurs « mécanismes de détection » peuvent être divisés en quatre catégories. Ces mécanismes sont identiques ou presque identiques pour l'ensemble des applications.
1) Liste blanche et liste noire
Ces listes blanches comprennent des applications populaires telles que Facebook, Instagram, LinkedIn, Skype et autres. Les listes noires contiennent beaucoup trop peu d'éléments pour être considérées comme des fonctionnalités de sécurité.
Figure 5 - Liste blanche des applications les plus populaires
2) Liste noire des permissions
Toutes les applications (y compris les applications légitimes) sont signalées si elles nécessitent certaines des permissions listées qui sont considérées comme dangereuses, telles que l'envoi et la réception de SMS, l'accès aux données de localisation, l'accès à la caméra, etc.
Figure 6 - Liste noire des autorisations
3) Liste blanche des sources
Toutes les applications sauf celles de la boutique officielle Android, Google Play, sont signalées - même si elles sont complètement inoffensives.
4) Liste noire des activités
Toutes les applications qui contiennent l'une des activités de la liste noire : c'est-à-dire des parties d'applications. Il s'agit principalement de certaines activités d'affichage publicitaire.
Les applications marquées sont toutes les applications qui contiennent l'une des activités de la liste noire, c'est-à-dire les paquets d'application qui sont utilisés dans une application. Ces paquets peuvent gérer des fonctionnalités supplémentaires (principalement certaines activités d'affichage d'annonces).
Bien que l'idée d'une liste noire des activités ne soit pas problématique en elle-même, l'implémentation de celle-ci par ces applications douteuses est plutôt négligée. Par exemple, Google Ads est inclus dans la liste noire, bien qu’il s’agisse d'un service légitime. En plus d'être légitime, ce service est implémenté dans toutes les applications questionnables que nous avons analysées.
Figure 7 - Liste noire des activités
Fonctionnalité de sécurité supplémentaire
Certaines des applications de sécurité douteuses sont capables de protéger les applications d'un utilisateur à l'aide d'un mot de passe ou d'un motif de verrouillage. L'idée derrière cette fonctionnalité apparemment utile est de fournir à l'utilisateur une couche de sécurité supplémentaire pour les applications sélectionnées.
Cependant, en raison d'une implémentation non sécurisée, cette fonctionnalité ne fournit pas non plus une véritable sécurité à l'utilisateur.
Le problème est que les informations pertinentes ne sont pas stockées en toute sécurité sur l'appareil - au lieu d'utiliser le chiffrement, pratique de base en cybersécurité, ces applications stockent les noms des applications verrouillées et les mots de passe pour les déverrouiller sous forme de texte en clair.
Ce implique qu'il est possible d'accéder aux données après l'enracinement de l'appareil.
En plus de compromettre les données non chiffrés par le rootage, ou débridage, du téléphone, un autre moyen pourrait permettre de contourner le verrouillage de l'application. Un attaquant ayant un accès physique à l'appareil peut en effet modifier le mot de passe de verrouillage de l'application sans connaître l'ancien mot de passe!
Figure 8 - Une des applications douteuses disposant la fonctionnalité de verrouillage de l'application qui stocke les données utilisateur dans un texte en clair
Conclusion
Disposer d’une solution de sécurité sur son téléphone Android est certainement une bonne chose. Cependant, ce ne sont pas toutes les applications dont le nom comprend les termes « sécurité » ou « antivirus » qui livrent la marchandise. Avant d'installer une solution de sécurité, réfléchissez-y à deux fois : est-ce vraiment un outil sur lequel vous pouvez compter en toute quiétude?
Les 35 applications de pseudo-sécurité décrites dans cet article ne sont ni des rançongiciels, ni tout autre type de logiciel particulièrement malveillant. Le seul tort qu'ils font est d'afficher des publicités ennuyeuses, de faire des détections faussement positives et de donner à la victime un faux sentiment de sécurité. Cependant, les millions d'utilisateurs non avertis qui les ont téléchargées sont à risque de télécharger des applications vraiment malveillantes utilisant une méthode de camouflage similaire.
Au lieu d'applications douteuses utilisant des noms et des icônes tape-à-l’oeil et des promesses extravagantes et non fondées, recherchez une solution de sécurité de bonne réputation. Comment choisir à quel logiciel faire confiance? Un test indépendant effectué par un organisme d'essai bien respecté pourrait vous aider.
Indicateurs de compromission (IoCs)
Nom de détection d’ESET :
Application potentiellement indésirable Android/Blacklister.A
| App Name | Package Name | Installs |
|---|---|---|
| Virus Cleaner Antivirus 2017 - Clean Virus Booster | com.sta.viruscleaner.antivirus | 1,000,000+ |
| Super Antivirus & Virus Cleaner (Applock, Cleaner) | com.superantivirus.mobilesecurity | 1,000,000+ |
| hAntivirus - Security | com.noah.antivirus | 1,000,000+ |
| Antivirus Security free | com.xplusapps.antivirus.free | 500,000+ |
| Antivirus 2018 | com.gotechgo.antivirus.mobilesecurity2018 | 500,000+ |
| Antivirus Clean | com.mobileapp.virus | 500,000+ |
| Security Antivirus 2018 | muel.security.antivirus | 500,000+ |
| Max Security - Antivirus&Booster &Cleaner | com.stranger.maxsecurity | 500,000+ |
| Antivirus Cleaner - Virus Scanner And Junk Remover | com.applock.security.viruscleaner | 100,000+ |
| Antivirus Security Free | com.rgamewall.anti2018 | 100,000+ |
| Antivirus Cleaner For Android & App Locker Pattern | com.antivirusforandroid.freeapp | 100,000+ |
| Antivirus Security | dhl.freesecure | 100,000+ |
| Smadav antivirus for android 2018 | com.smallapp.antivirus | 50,000+ |
| Antivirus Free : Process Virus | com.greenbooster.process | 50,000+ |
| TV Antivirus Free + Applock | toto.prosecurity | 50,000+ |
| Antivirus Virus Cleaner - Security Applock 2017 | com.viruscleaner.antivirus.security | 50,000+ |
| Super Security-Anti Virus, Phone Cleaner & Booster | com.supersecurity.cleaner | 10,000+ |
| Antivirus Free + Virus Cleaner + Security App | antivirus.cleaner.security.scanner | 10,000+ |
| Antivirus Pro - Virus Cleaner - Boost Mobile free | com.fantabulous.antiviruspro.viruscleaner | 10,000+ |
| Virus Clean Antivirus - Cpu Cooler & Ram Master | com.msysoft.viruscleaner.cleanvirus | 10,000+ |
| 360 Secure Antivirus | com.ufgames.antivirus | 10,000+ |
| Antivirus Cleaner Booster | com.best.apps.collection.antivirus | 10,000+ |
| Antivirus Android 2018 | com.looptoop.antivirus.android2018 | 10,000+ |
| Antivirus & Virus Remover 2018 | com.glagahstudio.viruscleaner.booster | 10,000+ |
| Antivirus Free 2018 | com.lalbazai.antivirus.mobilesecurity2018 | 5,000+ |
| Kara Security Manager Antivirus | kara.securitymanager.antivirus | 5,000+ |
| Security Antivirus 2018 | jts.security.mobile | 5,000+ |
| Antivirus & Virus Cleaner & Security | oriwa.antivirus.cleanvirus | 5,000+ |
| Master Antivirus Booster App Lock | com.boostercleaner.antivirus.mobilesecurity | 5,000+ |
| Virus Cleaner - Antivirus,Booster,Security&AppLock | com.radiantappsworld.securityantivirus | 5,000+ |
| Smart Security Antivirus & Applocker & Cleaner | org.orangina.antivirusmobilesecurity | 1,000+ |
| Antivirus 2017 & Virus Removal | com.bsm.multisecurity | 1,000+ |
| Energy Antivirus Cleaner | com.energy.antivirus.cleaner | 1,000+ |
| Antivirus Master-Applock Pro | com.octa.anti.antivirus | 500+ |
| AntiVirus Mobile Security for Android - Free | com.mobicluster.mobile.security.antivirus | 100+ |
