Attention aux « faux nettoyeurs ».
Les applications Android classées comme nettoyeurs ne sont pas toujours saines… L'éditeur en sécurité Kaspersky a découvert deux malwares le mois dernier. Camouflées sous le nom de Superclean et DroidCleaner, la description des deux applications (identiques, seul le nom diffère) mettait en avant l'efficacité de nettoyage de ces outils sur votre smartphone ou tablette Android. En réalité, leur mission consistait à voler les informations du terminal, et même espionner les conversations en infectant un PC.
Le mode d'infection, basique, tirait profit de l'autorun Windows, si celui-ci était activé. Apparemment, seuls les postes les plus anciens – ou mal configurés – ont été touchés, cette fonctionnalité étant désactivée par défaut dans les dernières versions de l'OS de Microsoft. Ainsi, les deux programmes malicieux téléchargeaient des données dès que le terminal Android était connecté à un ordinateur Windows, d'après le rapport posté sur le blog Kaspersky. Après exécution, le malware se commutait sur la fonction d'enregistrement audio de Windows pour capter le son, l'inscrire dans un fichier et l'envoyer à l'auteur malintentionné. Le fait que l'attaque vers le PC ciblait uniquement la communication audio laisse perplexe, le cybercriminel ayant très bien pu soutirer des informations sensibles (mots de passe, carte bancaire), cette méthode étant la plus répandue.
Mais le mal ne s'arrête pas en si bon chemin. En effet, le bot ne se contentait pas que « d'écouter » le PC, mais détenait aussi les permissions suivantes sous le terminal Android : services payants (envoi de messages SMS), modification de l'état du Wi-Fi, accès aux informations personnelles, ouverture d'une URL, stockage (modifier / supprimer le contenu de la carte microSD), upload d'un fichier, faire suivre les messages SMS ou les supprimer, envoi de toutes les informations liées au contenu personnel (contacts, photos, coordonnées).
À noter que Superclean et DroidCleaner ont disparu à ce jour du Play Store (où elles étaient d'ailleurs bien notées), l'intrusion ayant été détectée par Kaspersky le 22 janvier dernier et réparée dans la foulée par Google.
N'hésitez donc pas à vérifier les sources de vos applications et, le cas échéant, à scanner votre terminal, la première des précautions étant de ne pas installer d'applications douteuses.
