Plusieurs millions d'utilisateurs Android ont été infectés par un nouveau virus
Lookout, société spécialisée dans les solutions de sécurité pour téléphones mobiles vient de découvrir un nouveau malware. Baptisé Bad News, il envoie des SMS surtaxés et est présent à ce jour dans pas moins de 32 applications du Google Play Store. Selon les statistiques de ce dernier, les applications contaminées ont été téléchargées au total entre 2 millions et 9 millions de fois.
Lookout a immédiatement alerté Google, qui a aussitôt retiré les applications incriminées de sa plate-forme et fermé les comptes des développeurs associés. Tous les utilisateurs de l'application Lookout Mobile Security sont bien entendu protégés contre ces nouvelles menaces.
BadNews se fait passer pour un réseau publicitaire d'apparence innocente, mais relativement intrusif. Il a la capacité d'envoyer de faux messages à caractère informatif qui invitent les utilisateurs à installer les applications et à envoyer des informations sensibles telles que le numéro du téléphone et l'identifiant de l'appareil à son serveur C&C (Command and Control). BadNews exploite sa capacité à afficher de faux messages dans le but de diffuser des programmes malveillants de monétisation et de pousser des applications affiliées.
Ayant mené l'enquête, Lookout a découvert que BadNews poussait AlphaSMS, un programme d'envoi de SMS surtaxés, sur les appareils infectés.
BadNews est une évolution de taille dans le domaine des programmes malveillants visant les appareils mobiles, puisqu'il parvient à se diffuser très largement grâce à un serveur qui retarde le déclenchement de ses activités nocives. Un bon moyen de leurrer les systèmes de traque d'applications malveillantes, qui après avoir jaugé le nouveau venu estiment qu'il est sans danger.
La moitié des applications repérées se trouvent en Russie. Le programme AlphaSMS a été conçu pour des fraudes aux SMS surtaxés dans la Fédération de Russie et dans les pays voisins tels que l'Ukraine, la Biélorussie, l'Arménie et le Kazakhstan. A noter que les personnes qui contrôlent ce programme malveillant l'utilisent également pour pousser leurs autres applications moins populaires contenant elles aussi BadNews.
BadNews a été conçu pour avoir l'apparence d'un banal kit de développement logiciel (SDK) pour réseaux publicitaires, et est embarqué dans un grand nombre d'applications inoffensives, allant de dictionnaires russes à des jeux très populaires. Il diffuse le même programme malveillant que Lookout a repéré sur de nombreux sites web douteux de marketing d'affiliation. En outre, il est apparu que BadNews pousse d'autres applications affiliées moins populaires, notamment une de régimes en russe, contenant également BadNews.
Difficile encore de dire si certaines de ces applications, ou toutes, ont été lancées dans le but évident d'héberger BadNews, ou si des développeurs honnêtes se sont fait berner, en étant amenés à leur insu à installer un réseau publicitaire malveillant. D'après l'analyse du code par Lookout, tout laisse finalement à penser que BadNews est un SDK à but de monétisation frauduleuse.
