Une nouvelle vague d’attaques a été démasquée par l’équipe de recherche de PhoneAndroid : des applications Android totalisant plus de 2 milliards de téléchargements hebdomadaires ont servi de vecteur à une cyberattaque d’envergure. Ces applis, disponibles sur le Play Store, hébergeaient un code malveillant dormant, activé uniquement après l’installation, rendant leur détection très difficile.

Des apps populaires, mais piégées

Les applications concernées ne sont pas des apps obscures. Elles incluent :

  • Des apps de retouche photo (50M+ téléchargements)
  • Des launchers et widgets météo (100M+)
  • Des jeux casual (500M+)
  • Des browsers alternatifs (1M+)

Au total, plus de 150 applications ont été identifiées comme compromises. Elles utilisent toutes la même technique d’activation différée : le code malveillant est téléchargé après l’installation via une bibliothèque tierce, souvent sous couvert de publicité ou d’analyse.

Technique d’attaque : le « dropper différé »

  1. Installation : l’app semble normale, passe les tests de Google Play Protect.
  2. Activation : au bout de 24 à 72 heures, l’app télécharge un fichier DEX depuis un serveur externe.
  3. Exploitation : ce fichier installe un RAT (Remote Access Trojan) capable de :
    • Voler les identifiants bancaires
    • Accéder aux SMS et contacts
    • Installer des apps frauduleuses en arrière-plan
    • Afficher des publicités intrusives non bloquables

Ce dropper différé contourne les systèmes de détection de Google, car le code malveillant n’est pas présent au moment du téléchargement initial.

Qui est derrière ?

Les chercheurs attribuent cette attaque à un groupe de cybercriminels basé en Asie du Sud-Est, déjà connu pour des attaques similaires sur des stores alternatifs. Leur but : monétiser l’attention des utilisateurs via des pubs, des abonnements frauduleux et du vol de données bancaires.

Google a-t-il réagi ?

Google a retiré les applis concernées du Play Store après notification, mais aucune mise à jour de Play Protect n’a encore été déployée pour bloquer automatiquement ces menaces. De nouvelles applis utilisant la même technique ont déjà été repérées, sous des noms différents.

Comment se protéger ?

Vérifiez les permissions : une app de retouche photo n’a pas besoin d’accéder à vos SMS.
Installez uniquement les applis nécessaires et privilégiez les éditeurs connus.
Utilisez un antivirus mobile à jour (Bitdefender, Kaspersky, etc.).
Désinstallez les applis que vous n’utilisez plus.
Surveillez la consommation de données en arrière-plan : une app trop bavarde est suspecte.

Le mot de la fin

Cette attaque rappelle que même le Play Store n’est pas à l’abri de menaces sophistiquées. Avec 2 milliards de téléchargements hebdomadaires, l’impact est colossal. Restez vigilant, et pensez à contrôler les permissions de vos applications : c’est souvent la première ligne de défense.