Selon AV-Comparatives, un organisme de test indépendant, il existe des différences significatives dans le niveau de protection fourni par les solutions de sécurité mobile. Cependant, même les plus pauvres d'entre eux s’avèrent être encore bien meilleurs que les applications douteuses qui se font passer pour des applications de sécurité afin d'afficher des publicités aux utilisateurs. Trente-cinq de ces applications ont récemment été découvertes dans le magasin officiel d'applications Android de Google Play.

Ces applications ont pu passer sous le radar pendant quelques années, alors que les statistiques de Google Play montrent qu’elles ont obtenu au minimum plus de six millions d'installations cumulatives. Cependant, toutes ces installations n'étaient pas nécessairement réelles : c'est pratique courante de faire de faux téléchargements par des robots qui publient par la suite des critiques positives et améliorent les évaluations de leurs applications respectives.

Toutes les 35 applications ont été signalées par ESET et ont depuis été retirées du Google Store.

Figure 1 - Les 35 applications en question sur Google Play

Figure 1 - Les 35 applications en question sur Google Play

En plus de contrarier leurs victimes avec des publicités, ces applications camouflées en logiciels de sécurité ont aussi de sérieux effets secondaires négatifs. En imitant les fonctions de sécurité de base - en fait, elles agissent toutes comme des vérificateurs de sécurité très primitifs, s’appuyant sur quelques règles triviales codées en dur – ces applications détectent souvent les applications légitimes comme malveillantes. Enfin, elles entraînent un faux sentiment de sécurité chez les victimes, ce qui peut les exposer à des risques réels liés à des applications malveillantes qui ne sont pas détectées en tant que telles.

L'analyse d'ESET a montré que parmi ces 35 applications, seulement quelques-unes se distinguent par leurs caractéristiques spécifiques. Une de ces applications n'est pas totalement gratuite, puisqu'elle offre une mise à niveau payante. Une autre a implémenté un gestionnaire de verrouillage d'applications primitif, facilement contournable. Une troisième application signale les autres applications de ce groupe comme dangereuses par défaut. Finalement, l'une d'entre elles utilise à mauvais escient l'image de marque d'ESET.

 

Figure 2 - Une des 35 applications détectant d'autres applications similaires comme étant hautement risquée

Figure 2 - Une des 35 applications détectant d'autres applications similaires comme étant hautement risquée

Figure 3 - L'une des applications se signalant elle-même comme étant à haut risque.

Figure 3 - L'une des applications se signalant elle-même comme étant à haut risque.

Figure 4 - Une des applications offrant une version pour professionnels

Figure 4 - Une des applications offrant une version pour professionnels

Fonctionnalité d'imitation de sécurité

Afin de demeurées indétectées, toutes ces applications publicitaires douteuses imitent les solutions de sécurité mobile actuelles. Cependant, leurs « mécanismes de détection » sont incomplets et très primitifs, ce qui les rend faciles à contourner et sujets aux faux positifs.

Notre recherche sur ces applications questionnables a montré que leurs « mécanismes de détection » peuvent être divisés en quatre catégories. Ces mécanismes sont identiques ou presque identiques pour l'ensemble des applications.

1) Liste blanche et liste noire

Ces listes blanches comprennent des applications populaires telles que Facebook, Instagram, LinkedIn, Skype et autres. Les listes noires contiennent beaucoup trop peu d'éléments pour être considérées comme des fonctionnalités de sécurité.

Figure 5 - Liste blanche des applications les plus populaires

Figure 5 - Liste blanche des applications les plus populaires

2) Liste noire des permissions

Toutes les applications (y compris les applications légitimes) sont signalées si elles nécessitent certaines des permissions listées qui sont considérées comme dangereuses, telles que l'envoi et la réception de SMS, l'accès aux données de localisation, l'accès à la caméra, etc.

Figure 6 - Liste noire des autorisations

Figure 6 - Liste noire des autorisations

3) Liste blanche des sources

Toutes les applications sauf celles de la boutique officielle Android, Google Play, sont signalées - même si elles sont complètement inoffensives.

4) Liste noire des activités 

Toutes les applications qui contiennent l'une des activités de la liste noire : c'est-à-dire des parties d'applications. Il s'agit principalement de certaines activités d'affichage publicitaire.

Les applications marquées sont toutes les applications qui contiennent l'une des activités de la liste noire, c'est-à-dire les paquets d'application qui sont utilisés dans une application. Ces paquets peuvent gérer des fonctionnalités supplémentaires (principalement certaines activités d'affichage d'annonces).

Bien que l'idée d'une liste noire des activités ne soit pas problématique en elle-même, l'implémentation de celle-ci par ces applications douteuses est plutôt négligée. Par exemple, Google Ads est inclus dans la liste noire, bien qu’il s’agisse d'un service légitime. En plus d'être légitime, ce service est implémenté dans toutes les applications questionnables que nous avons analysées.

Figure 7 - Liste noire des activités

Figure 7 - Liste noire des activités

Fonctionnalité de sécurité supplémentaire

Certaines des applications de sécurité douteuses sont capables de protéger les applications d'un utilisateur à l'aide d'un mot de passe ou d'un motif de verrouillage. L'idée derrière cette fonctionnalité apparemment utile est de fournir à l'utilisateur une couche de sécurité supplémentaire pour les applications sélectionnées.

Cependant, en raison d'une implémentation non sécurisée, cette fonctionnalité ne fournit pas non plus une véritable sécurité à l'utilisateur.

Le problème est que les informations pertinentes ne sont pas stockées en toute sécurité sur l'appareil - au lieu d'utiliser le chiffrement, pratique de base en cybersécurité, ces applications stockent les noms des applications verrouillées et les mots de passe pour les déverrouiller sous forme de texte en clair.

Ce implique qu'il est possible d'accéder aux données après l'enracinement de l'appareil.

En plus de compromettre les données non chiffrés par le rootage, ou débridage, du téléphone, un autre moyen pourrait permettre de contourner le verrouillage de l'application. Un attaquant ayant un accès physique à l'appareil peut en effet modifier le mot de passe de verrouillage de l'application sans connaître l'ancien mot de passe!

Figure 8 - Une des applications douteuses disposant la fonctionnalité de verrouillage de l'application qui stocke les données utilisateur dans un texte en clair

Figure 8 - Une des applications douteuses disposant la fonctionnalité de verrouillage de l'application qui stocke les données utilisateur dans un texte en clair

Conclusion

Disposer d’une solution de sécurité sur son téléphone Android est certainement une bonne chose. Cependant, ce ne sont pas toutes les applications dont le nom comprend les termes « sécurité » ou « antivirus » qui livrent la marchandise.  Avant d'installer une solution de sécurité, réfléchissez-y à deux fois : est-ce vraiment un outil sur lequel vous pouvez compter en toute quiétude?

Les 35 applications de pseudo-sécurité décrites dans cet article ne sont ni des rançongiciels, ni tout autre type de logiciel particulièrement malveillant. Le seul tort qu'ils font est d'afficher des publicités ennuyeuses, de faire des détections faussement positives et de donner à la victime un faux sentiment de sécurité. Cependant, les millions d'utilisateurs non avertis qui les ont téléchargées sont à risque de télécharger des applications vraiment malveillantes utilisant une méthode de camouflage similaire.

Au lieu d'applications douteuses utilisant des noms et des icônes tape-à-l’oeil et des promesses extravagantes et non fondées, recherchez une solution de sécurité de bonne réputation. Comment choisir à quel logiciel faire confiance? Un test indépendant effectué par un organisme d'essai bien respecté pourrait vous aider.

Indicateurs de compromission (IoCs)

Nom de détection d’ESET :

Application potentiellement indésirable Android/Blacklister.A

App Name Package Name Installs
Virus Cleaner Antivirus 2017 - Clean Virus Booster com.sta.viruscleaner.antivirus 1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner) com.superantivirus.mobilesecurity 1,000,000+
hAntivirus - Security com.noah.antivirus 1,000,000+
Antivirus Security free com.xplusapps.antivirus.free 500,000+
Antivirus 2018 com.gotechgo.antivirus.mobilesecurity2018 500,000+
Antivirus Clean com.mobileapp.virus 500,000+
Security Antivirus 2018 muel.security.antivirus 500,000+
Max Security - Antivirus&Booster &Cleaner com.stranger.maxsecurity 500,000+
Antivirus Cleaner - Virus Scanner And Junk Remover com.applock.security.viruscleaner 100,000+
Antivirus Security Free com.rgamewall.anti2018 100,000+
Antivirus Cleaner For Android & App Locker Pattern com.antivirusforandroid.freeapp 100,000+
Antivirus Security dhl.freesecure 100,000+
Smadav antivirus for android 2018 com.smallapp.antivirus 50,000+
Antivirus Free : Process Virus com.greenbooster.process 50,000+
TV Antivirus Free + Applock toto.prosecurity 50,000+
Antivirus Virus Cleaner - Security Applock 2017 com.viruscleaner.antivirus.security 50,000+
Super Security-Anti Virus, Phone Cleaner & Booster com.supersecurity.cleaner 10,000+
Antivirus Free + Virus Cleaner + Security App antivirus.cleaner.security.scanner 10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile free com.fantabulous.antiviruspro.viruscleaner 10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Master com.msysoft.viruscleaner.cleanvirus 10,000+
360 Secure Antivirus com.ufgames.antivirus 10,000+
Antivirus Cleaner Booster com.best.apps.collection.antivirus 10,000+
Antivirus Android 2018 com.looptoop.antivirus.android2018 10,000+
Antivirus & Virus Remover 2018 com.glagahstudio.viruscleaner.booster 10,000+
Antivirus Free 2018 com.lalbazai.antivirus.mobilesecurity2018 5,000+
Kara Security Manager Antivirus kara.securitymanager.antivirus 5,000+
Security Antivirus 2018 jts.security.mobile 5,000+
Antivirus & Virus Cleaner & Security oriwa.antivirus.cleanvirus 5,000+
Master Antivirus Booster App Lock com.boostercleaner.antivirus.mobilesecurity 5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLock com.radiantappsworld.securityantivirus 5,000+
Smart Security Antivirus & Applocker & Cleaner org.orangina.antivirusmobilesecurity 1,000+
Antivirus 2017 & Virus Removal com.bsm.multisecurity 1,000+
Energy Antivirus Cleaner com.energy.antivirus.cleaner 1,000+
Antivirus Master-Applock Pro com.octa.anti.antivirus 500+
AntiVirus Mobile Security for Android - Free com.mobicluster.mobile.security.antivirus 100+