Goldoson : le malware qui infecte de vraies applis Android

Goldoson : le malware qui infecte de vraies applis Android

Le Play Store a encore été infiltré par un malware ! Les experts en sécurité de McAfee ont recensé 60 applications Android populaires vérolées qui dérobent les données personnelles et pratiquent de la fraude publicitaire.

Une fois encore, le Play Store est frappé par une vague d'applications mobiles vérolées – c'est devenu une habitude. Même si Google possède de nombreux outils visant à les écarter de sa boutique, les cybercriminels ne manquent jamais d'imagination pour les contourner. Cette fois, il ne s'agit pas de fausses applications imitant des applis officielles, mais d'un malware qui a infecté de vraies applications officielles, dont certaines très populaires : au total, une soixantaine d'applis sont concernées, qui représentent tout de même plus de 100 millions téléchargements !

Prénommé Goldoson, ce vilain maliciel a vérolé ces applications légitimes à l'insu même de leurs développeurs, par le biais d'une bibliothèque tierce compromise – une "brique logicielle" prête à l'emploi, comme en exploitent de nombreuses applications. Découvert par les chercheurs en sécurité de McAfee, Goldoson est capable de collecter des données des applications installées ainsi que de consulter la liste des appareils connectés au Wi-Fi et au Bluetooth, et les positions GPS de l'utilisateur. Il peut aussi être utilisé simuler des clics sur des publicités, faisant croire aux annonceurs que leurs annonces génèrent beaucoup d'interactions – et récoltant au passage beaucoup d'argent via les liens affiliés. C'est tout simplement de la fraude publicitaire. En plus, ce procédé a tendance à très vite vider la batterie du smartphone ! 

Top 9 des applications infectées par Goldoson sur le Play Store © McAfee

Malware Goldoson : vol de données et fraude publicitaire

À l'origine, les applications infectées par Goldoson sont parfaitement normales. Le problème vient du fait qu'elles utilisent une bibliothèque qui, elle, a été vérolée par les pirates. Du coup, en lançant une appli infecté, les utilisateurs activent sans le savoir Goldoson qui enregistre leurs appareils dans sa base de données et met en place les procédures de vol de données et de clics publicitaires, et en paramétrant la fréquence et les conditions de déclenchement de ces actions.

Les données de l'appareil infecté sont généralement envoyées au serveur des pirates tous les deux jours. Cependant, le niveau d'infection dépend du type et du nombre d'autorisations que possède l'application infectée, ainsi que de la version Android utilisée. En effet, les versions Android 11 et supérieures rendent la tâche plus difficile pour la collecte illégale de données, mais, d'après les chercheurs, les malwares peuvent tout de même récupérer des données sensibles de 10 % des applications.

Certaines de ces applis sont réputées en Corée du Sud, mais aussi ailleurs dans le monde, à l'instar du lecteur de fichiers multimédia GOM Player. Google et les développeurs des applications ont bien évidemment été avertis par McAfee. La plupart sont désormais supprimées de la boutique officielle ou de nouveau saines, après que la bibliothèque ait été retirée. Toutefois, le malware reste d'actualité. Voici les principales applications vérolées présentes sur le Play Store qui ont été détectées par McAfee. Notez que nous avons exclu de cette liste les applications avec des noms en caractères asiatiques, qui ont peu de risques d'être téléchargées sur le Play Store en français.

  • GOM Player
  • GOM Audio
  • L.POINT with L.PAY
  • Swipe Brick Breaker
  • Money Manager Expense & Budget
  • Megabox
  • LIVE Score, Real-Time Score
  • Pikicast
  • Compass 9: Smart Compass
  • TV – All About Video
  • LOTTE WORLD Magicpass
  • Bounce Brick Breaker
  • Infinite Slice
  • SomNote – Beautiful note app
  • Korea Subway Info : Metroid
  • UBhind: Mobile Tracker Manager
  • Snake Ball Lover
  • Money Manager (Remove Ads)
  • Inssaticon – Cute Emoticons, K
  • T map for KT, LGU+
  • GOM Audio Plus – Music, Sync l
  • Swipe Brick Breaker 2
  • TNT
  • InfinitySolitaire

Si toutes les applications ne sont pas disponibles sur les versions françaises de la boutique officielle, certaines d'entre elles connaissent cependant un succès mondial. Aussi, si vous avez installé l'une d'entre elles sur votre smartphone, désinstallez-la immédiatement. Par sécurité, mieux vaut que vous changiez vos mots de passe – prenez-en des complexes et uniques pour chaque compte –  et que vous surveilliez les transactions sur votre compte bancaire. Gardez à l'esprit que ce n'est pas parce que vous téléchargez une application sur une boutique officielle que vous ne courrez aucun risque. C'est pourquoi il vaut mieux n'installer que des applications dont vous avez vraiment besoin et supprimer celles que vous n'utilisez plus. Avant chaque téléchargement, prenez le temps de vérifier les petits détails qui pourraient vous mettre la puce à l'oreille – nombre de téléchargements, avis, nom du développeur, demandes d'autorisation, autres applis développées... Dans tous les cas, mieux vaut avoir un antivirus en arrière-plan pour vérifier une seconde fois que des comportements malveillants ne sont pas secrètement à l'œuvre.