
« Les applications malveillantes ont atteint un écart étonnant de téléchargements compris entre 4,5 millions et 18,5 millions. Certaines des applications que nous avons découvertes résident sur Google Play depuis plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas depuis combien de temps le code malveillant est présent dans les applications, raison pour laquelle la diffusion réelle du malware reste inconnue », a noté Checkpoint.
Enistudio n’est pas le seul éditeur à avoir vu ses applications embarquer le code malveillant, comme le note Checkpoint. Même si le spécialiste précise que la connexion entre les deux est incertaine, il suppose qu’une portion de code peut avoir été empruntée à l’autre, sciemment ou inconsciemment.
« L'application la plus ancienne de la deuxième campagne a été mise à jour pour la dernière fois en avril 2016, ce qui signifie que le code malveillant s'est caché pendant longtemps sur le magasin Play sans avoir été détecté. Ces applications ont également eu une grande quantité de téléchargements qui se trouvent dans une fourchette comprise entre 4 et 18 millions, ce qui signifie que la propagation totale des logiciels malveillants peut avoir été répandue dans une fourchette d’utilisateurs comprise entre 8,5 et 36,5 millions », souligne Checkpoint.
Pour éviter de se faire détecter par Google en tant que logiciel malveillant, le malware se téléchargeait automatiquement grâce à une mise à jour des applications concernées. Sauf que cette mise à jour était téléchargée sur des serveurs indépendants du Google Play Store. Google n'avait donc pas moyen de vérifier le contenu du téléchargement : « À l'instar des logiciels malveillants antérieurs qui ont infiltré Google Play, tels que FalseGuide et Skinner, Judy s'appuie sur la communication avec son serveur Command and Control (C & C) pour son fonctionnement ».
Après que Check Point a informé Google de cette menace, les applications ont été rapidement retirées du Play Store.
Source : Checkpoint
Voir aussi :


