Android : un spyware baptisé SMSVova serait présent sur le Play Store
Et trompait les utilisateurs en se faisant passer pour une mise à jour système

Le , par Malick SECK, Community Manager
Zscaler ThreatLabz, une célèbre société spécialisée en sécurité, vient de porter à l'attention du public l'information selon laquelle un spyware baptisé SMSVova serait présent sur le Play Store de Google. Selon l'équipe des chercheurs, cette découverte est faite suite à leurs efforts sans cesse croissants de lutte contre les logiciels malveillants.

Pour rappel, un spyware ou logiciel espion est un logiciel malveillant qui s'installe dans un ordinateur ou autre appareil mobile. Son but principal est de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur en ait connaissance.

D'après les informations recueillies, la particularité du spyware réside dans sa capacité à recueillir l'emplacement exact de la victime et à relayer l'information à un pirate, et tout cela en temps réel. Selon les chercheurs en sécurité, le mode opératoire du spyware consistait à tromper les utilisateurs en se faisant passer pour une mise à jour système. « L'application, qui prétendait donner aux utilisateurs un accès aux dernières mises à jour de leur système Android, a été utilisée pour espionner la géolocalisation exacte de la victime. Cette stratégie aurait également pu être utilisée par des pirates pour réaliser toutes autres formes d'attaques malveillantes », a affirmé l'équipe de Zscaler ThreatLabz.


Mise à jour du système sur Playstore

Comme le montre la figure ci-dessus, le spyware SMSVova se présente sous la forme d'une application qui est censée faire une mise à jour du système. À en croire l'équipe des chercheurs en sécurité, plusieurs utilisateurs sont tombés dans le piège du spyware ; en effet ce dernier aurait été téléchargé entre un et cinq millions de fois, et cela depuis l'année 2014.

Les chercheurs en sécurité affirment que durant leurs recherches, ils ont été attirés par les nombreuses plaintes (commentaires) venant des utilisateurs mécontents. À cela s'ajoute également la nature de la fenêtre de présentation de l'application ; cette dernière avait un fond d'écran blanc et ne fournissait aucune description relative à l'application. « L'application se présente comme une mise à jour du système et ne mentionne dans sa description aucune information sur sa capacité d'espionnage à distance. Comme le montre la capture d'écran ci-dessous, il ne mentionne pas qu'il envoie des informations de localisation à un tiers », affirment les chercheurs.


Poursuivant leur argumentation, l'équipe de Zscaler ThreatLabz soutient que dès que la victime aura cliqué sur l'application pour lancer l'installation, le processus est automatiquement arrêté et un message d'erreur « Malheureusement, service de mise à jour est arrêté » apparaît sur l'écran de l'appareil. À partir de ce moment, l'utilisateur va croire que l'installation a échoué, alors que c'est au même moment que le spyware SMSVova entre en action pour commettre son forfait. Pour ce faire, Zscaler nous informe que le spyware a recours au service dénommé MyLocationService et IncomingSMS;

Selon les chercheurs, l'objectif principal de MyLocationService est d'aller chercher la dernière position connue de l'utilisateur et le configurer dans les préférences partagées. Cette méthode est l'une des nombreuses façons dont Android stocke les données contenues dans une application.


MyLocationService

S'agissant de l'IncomingSMS, il est présenté comme un service permettant de rechercher des messages SMS entrants obéissant à une syntaxe particulière. Dans le cadre de son utilisation par le spywaye objet dudit article, le message recherché doit avoir plus de 23 caractères et doit obligatoirement contenir le mot vova. Les messages contenant l'expression get faq sont également analysés.


IncomingSMS fetching SMS

Les chercheurs en sécurité ajoutent qu'un attaquant a la possibilité de définir une alerte de localisation lorsque la batterie de la victime est faible. Le pirate pourrait aussi créer un mot de passe pour le logiciel espion en l'occurrence SMSVova, mais il pourrait également utiliser le mot de passe par défaut à savoir Vova. Une fois qu'un numéro de téléphone et un mot de passe sont définis, le logiciel espion démarre un processus conçu pour envoyer l'emplacement de l'appareil à l'attaquant. Cette fonctionnalité est affichée dans capture d'écran ci-dessous :


Sending Location

D'après le spécialiste en sécurité Zscaler ThreatLabz, Google a été mis au courant de l'existence du spyware SMSVova. Il semblerait que la firme de Mountain View a déjà réagi en procédant à la suppression de l'application dans le Play Store.

Source : Zscaler ThreatLabz

Et vous ?

Que pensez-vous du spyware SMSVova ?

Aviez-vous tenté de l'installer auparavant 


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 21/04/2017 à 13:44
C'est un peu fort de café que ça passe les filtres d'acceptation du Play Store...
Avatar de vanquish vanquish - Membre éclairé https://www.developpez.com
le 22/04/2017 à 17:39
Citation Envoyé par transgohan Voir le message
C'est un peu fort de café que ça passe les filtres d'acceptation du Play Store...
Tout aussi étonnant qu'une application qui fait mine de ne pas pouvoir s'exécuter récupère quand même 4 étoiles avec 7.500 votes.

Quant à la question l'avez vous installé : ben non ! Une mise à jour de "P.D.A.C Tech" sans aucune description, je n'installe pas.
Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Responsable technique java/jee H/F
Capgemini - Midi Pyrénées - Toulouse (31000)
Développeur java / jee H/F
Capgemini - Ile de France - Suresnes (92150)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil