Une étude menée par des chercheurs en cybersécurité chez Check Point a révélé la présence d’un programme malveillant appelé « SimBad » dans 206 applications du store officiel d’Android : Play Store. Celui-ci a déjà notamment été téléchargé sur plus de 150 millions d’appareils.
Les jeux affectés par SimBad
Parmi les logiciels concernés, on peut rencontrer de nombreux jeux populaires faisant l’objet d’environ 55 millions de téléchargements: Hoverboard Racing, Real TractorFarming Simulator, Snow Heavy Excavator Simulator, Hoverboard Racing, Heavy Mountain Bus Simulator 2018, …etc. Le malware supprime l’icône de l’application après la première ouverture du jeu affecté. En se lançant à chaque redémarrage du Smartphone, il continue de fonctionner en arrière-plan. En fait, SimBad diffuse en permanence des annonces sur le périphérique de l’utilisateur pour générer des revenus à son issu.
La découverte du malware
RXD ioder, un kit de développement fourni par un site addroider [.] Com, se trouve à l’origine de tout ce problème. Celui-ci avait notamment pour rôle de favoriser l’intégration d’un lien vers des serveurs de publicité en ligne qui seraient affichés dans les applications. « Il est fort probable que cette méthode constituait une manœuvre bien préparée pour inciter les développeurs Web à utiliser le kit », ont déclaré les collaborateurs de Check Point. À l’insu de ces développeurs, 206 applications ont été affectées. Une fois téléchargées, ces dernières entraient en contact avec un serveur de commande et de pointage. Trois types de phénomènes sont alors susceptibles d’apparaître: ouverture d’une ou plusieurs applications dans un kiosque alternatif ou dans le Play Store, téléchargement d’une application et ouverture d’un navigateur avec un site de logiciel de publicité ou de phishing. La seconde option a fait de SimBad une source de contamination significative et dangereuse.
Les agressions causées par SimBad
Lorsque les applications sont touchées, elles ont la possibilité d’ouvrir un navigateur Web et de lancer des opérations de phishing. Elles sont en mesure de télécharger des applications indésirables à partir d’un magasin alternatif ou du Play Store. Selon les spécialistes, SimBad représente un adware confirmé. Cependant, ses menaces peuvent aller au-delà de son statut.
Google reste silencieux face à la situation
Jusqu’ici, le géant de Google n’a pas donné d’explication officielle quant à l’expansion de SimBad. En effet, la manière dont ce dernier a été introduit dans les applications contaminées reste encore inconnue. Par ailleurs, nous ne comprenons pas pourquoi le géant ne l’a pas détecté lors du processus de validation classique qui se tient avant la publication sur le Play Store. Pour remédier à la situation, Google a retiré toutes les applications suspectes de sa boutique. En ce qui concerne les actions à mener par les utilisateurs, ceux-ci doivent supprimer les informations relatives à toutes les applications en cause et les supprimer immédiatement de leurs appareils. La prudence est également requise lors du téléchargement de tout type d’applications. Certains antivirus Androïde ne peuvent pas lutter contre les logiciels malveillants. De plus, SimBad peut masquer le caractère malveillant des applications infectées sur le lanceur.