Bad News, l’application Android qui diffuse des SMS surtaxés

« Bad News », un nom prédestiné pour une application malveillante de SMS surtaxés.

Lookout, leader des solutions de sécurité pour téléphones mobiles et tablettes, a informé datasecuritybreach.fr de la mise au jour de BadNews, une nouvelle souche de programmes malveillants présents dans 32 applications associées à quatre comptes de développeurs sur Google Play. Selon les statistiques de Google Play, les applications contaminées ont été téléchargées au total entre 2 millions et 9 millions de fois. Lookout a alerté Google, qui a aussitôt retiré les applications incriminées de sa plate-forme et fermé les comptes des développeurs associés, en attendant les résultats de l’enquête lancée. Tous les utilisateurs de Lookout sont protégés contre ces nouvelles menaces.

BadNews se fait passer pour un réseau publicitaire d’apparence innocente, mais relativement intrusif. Il a la capacité d’envoyer de faux messages à caractère informatif qui invitent les utilisateurs à installer les applications et à envoyer des informations sensibles telles que le numéro du téléphone et l’identifiant de l’appareil à son serveur C&C (Command and Control). BadNews exploite sa capacité à afficher de faux messages dans le but de diffuser des programmes malveillants de monétisation et de pousser des applications affiliées. Ayant mené l’enquête, Lookout a découvert que BadNews poussait AlphaSMS, un programme d’envoi de SMS surtaxés, sur les appareils infectés.

BadNews est une évolution de taille dans le domaine des programmes malveillants visant les appareils mobiles, puisqu’il parvient à se diffuser très largement grâce à un serveur qui retarde le déclenchement de ses activités nocives. Un bon moyen de leurrer les systèmes de traque d’applications malveillantes, qui après avoir jaugé le nouveau venu estiment qu’il est sans danger.

Deux grands enseignements à tirer de ce cas malveillant : les développeurs doivent être vigilants quant aux librairies tierces qu’ils incluent éventuellement dans leurs applications. Si elles sont douteuses, leur réputation en souffrira et la sécurité des utilisateurs sera menacée. Les responsables informatiques des entreprises doivent partir du principe que les systèmes de repérage et de blocage d’applications malveillantes ne sont pas efficaces, même les meilleurs, face à BadNews, puisqu’il patiente longuement avant d’accomplir son œuvre. Une surveillance permanente doit être mise en place pour repérer toute activité douteuse survenant par la suite, en lien avec une application pourtant considérée comme légitime au départ.

Quel impact ?

La moitié des applications repérées se trouvent en Russie. Le programme AlphaSMS a été conçu pour des fraudes aux SMS surtaxés dans la Fédération de Russie et dans les pays voisins tels que l’Ukraine, la Biélorussie, l’Arménie et le Kazakhstan. A noter que les personnes qui contrôlent ce programme malveillant l’utilisent également pour pousser leurs autres applications moins populaires contenant elles aussi BadNews.

BadNews a été conçu pour avoir l’apparence d’un banal kit de développement logiciel (SDK) pour réseaux publicitaires, et est embarqué dans un grand nombre d’applications inoffensives, allant de dictionnaires russes à des jeux très populaires. Il diffuse le même programme malveillant que Lookout a repéré sur de nombreux sites web douteux de marketing d’affiliation. En outre, il est apparu que BadNews pousse d’autres applications affiliées moins populaires, notamment une de régimes en russe, contenant également BadNews. Difficile encore de dire si certaines de ces applications, ou toutes, ont été lancées dans le but évident d’héberger BadNews, ou si des développeurs honnêtes se sont fait berner, en étant amenés à leur insu à installer un réseau publicitaire malveillant. D’après l’analyse du code, tout laisse à penser que BadNews est un SDK à but de monétisation frauduleuse.

Le mode de fonctionnement Une fois activé, BadNews interroge son serveur C&C toutes les quatre heures pour obtenir de nouvelles instructions, tout en lui transmettant des données sensibles – les numéros de téléphone et de série (IMEI) de l’appareil. Le serveur répond avec de nouvelles consignes, comme par exemple celles d’afficher des mises à jour (fausses) à l’intention des utilisateurs, ou d’inviter à installer l’application téléchargée. Des mises à jour pour une application de réseau social russe très populaire. A noter que le message malveillant a été vu, aussi, via Skype. Dans chacun des cas, l’URL pointe vers une page de téléchargement de l’application AlphaSMS, sous le prétexte fallacieux d’installer des logiciels disponibles gratuitement. Dans les faits, il a pour mission de déclencher l’envoi de SMS surtaxés indésirables. La plupart des actions conduisent au téléchargement du programme AlphaSMS. Dans les autres cas, il s’agit de promotion croisée concernant d’autres applications infectées listées sur Google Play.

Les fichiers portent l’extension .APK, avec par exemple « skype_installer.apk », « mail.apk » ou encore « vkontakte_installer.apk », dans le but de leurrer l’utilisateur pour qu’il octroie les permissions demandées pendant l’installation du fichier. Les noms de fichier ont été judicieusement choisis pour faire écho à la mise à jour de sécurité annoncée dans le message d’information reçu. Il apparaît de surcroît qu’une grosse partie du code de BadNews provient d’autres familles de programmes malveillants elles aussi utilisées pour des arnaques aux SMS surtaxés en Europe de l’Est (RuPaidMarket.m). A noter que trois serveurs C&C ont été repérés – un en Russie, le deuxième en Ukraine et le troisième en Allemagne. Tous trois sont pour le moment actifs mais Lookout fait le maximum pour les faire mettre hors de service.

Comment se protéger ?

Dans les configurations système d’Android, il faut s’assurer que la case « Sources inconnues » n’est pas cochée, pour éviter l’installation fortuite ou indésirable d’applications. Il est conseillé de télécharger une application de protection pour mobiles qui bloque les programmes malveillants.