Une nouvelle version de Porn Clicker vient d’apparaitre sur Google Play. Des pirates Turcs seraient derriére cette nouvelle version.
En avril 2015, l’éditeur de solutions de sécurité informatique Avast découvrait un code malveillant baptisé « porn clicker ». Un malware caché dans un logiciel propose sur Google Play. D’après l’éditeur, il a pu être téléchargé entre 100 000 et 500 000. Le code malveillant se faisait passer pour l’application populaire Dubsmash.
Une fois l’application installée, aucun indice particulier ne permettait à l’utilisateur d’identifier sur son appareil une application intitulée “Dubsmash 2” : en effet, l’application générait à la place une icône qui se présentait sous le nom de “Réglages IS”. Lorsque l’utilisateur ouvre cette application, le Google Play Store active la page de téléchargement de l’actuel “Dubsmash”. Par la même occasion, une liste de liens redirigeant vers divers sites pornographiques est téléchargée, conduisant au lancement d’un des liens de cette liste dans le navigateur. Après une dizaine de secondes, le code procède au clic d’autres liens au sein même du site pornographique.
« Nous serons de retour… »
Quatre mois plus tard, il a identifié une mutation de ce malware. intercepteur de données qui semble avoir été créé par la même équipe turque qui était à l’origine de ce logiciel malveillant. Google a une nouvelle fois réagi rapidement et l’a retirée du Play Store.
Une fois téléchargées, les applications ne présentent aucune activité importante lorsque l’utilisateur procède à l’ouverture de celles-ci, et affichent seulement une image fixe. Toutefois, lorsque l’utilisateur, qui ne se doute de rien, ouvre son navigateur ou d’autres applications, l’application malveillante parcourant l’arrière-plan du système renvoie directement vers des sites pornographiques. Les victimes ne comprennent pas forcément d’où proviennent ces redirections, car il n’est possible d’arrêter ce processus qu’en supprimant l’application.
Les chercheurs en sécurité de chez Eset ont rapporté peu de temps après que de nombreuses applications ayant subi cette mutation se trouvaient dans Google Play, et que la forme originelle du malware y a été téléchargée à plusieurs reprises en mai dernier. Les découvertes, combinées à celles d’Eset, prouvent que les auteurs de ces malwares persistent dans leur intention de faire de Google Play une résidence permanente pour leurs logiciels malveillants.
Quelques jours plus tard, le malware était déjà de retour sur Google Play. Le malware, identifié sous l’appellation « Clicker-AR », était présent dans les trois applications suivantes : Doganin Güzellikleri, Doganin Güzellikleri 2, Doganin Güzellikleri 3. Ce qui signifie littéralement « Beautés de la Nature ». Les pirates avaient en effet modifié les noms des développeurs afin que Google ne puisse pas les retrouver facilement. Avast a signalé à Google la présence de ces applications malveillantes et celles-ci ont été une nouvelle fois retirées.
Que peut faire l’utilisateur ?
Google a du pain sur la planche. En effet, la société a en charge à la fois le maintien du système d’exploitation pour mobiles le plus populaire au monde et un « app store » proposant environ 1,5 millions d’applications. Un antivirus n’est pas à négliger, la source du logiciel est à vérifier par les utilisateurs avant le moindre téléchargement. Faire attention aux demandes d’autorisations des applications. Si une application fait une demande d’autorisation que l’utilisateur ne juge pas nécessaire pour le bon fonctionnement de l’application, cela annonce probablement la présence d’une faille. Même si cela peut-être piégé, vérifier les avis d’utilisateurs.