Annonce du 13. février 2012

Application malveillante ou légitime ? Telle est la question

Une application Android est ôtée du Google Market, car elle est considérée comme malveillante mais est ensuite de retour. La fonctionnalité dangereuse est restée. La principale différence est le CLUF (Contrat de Licence Utilisateur Final). Prévenir l'utilisateur est-il suffisant pour changer la donne ?

Un logiciel est considéré comme un malware lorsque son but est, par exemple, de nuire à l'appareil ou de voler des informations, ce qui pourrait entraîner le vol d'identité ou de fraude avec des pénalités financières sans le consentement de l'utilisateur. Mais il n'est pas toujours facile de trier le bon grain de l'ivraie. Le nombre d'applications qui diffament ou se moquent de l'utilisateur prennent une part croissante dans les menaces sur mobile. La difficulté de tracer une ligne claire entre un logiciel malveillant ou un légitime est particulièrement difficile si la simple mention du comportement supposé malveillant dans le contrat de licence ou le CLUF semble confirmer son droit d'être publié et de rester dans le Google Market. Jetons un coup d'oeil à une affaire en cours.


Étape 1: SndApps.A
Le malware en question, Android.Trojan.SndApps.A a été découvert le 4 juillet 2011 par Xuxian Jiang, alors professeur assistant au NCSU. Il s'adresse aux appareils mobiles Android et était disponible sur le Google Market. Une fois installé par l'utilisateur, le code malveillant ajoute des services afin d’être capable de démarrer certains processus malveillants au démarrage du système. L'utilisateur ne dispose d'aucune influence sur ces services.
Les applications porteuses de ce code sont très simples. L'application affiche juste une image d’avertisseur sonore à air qui, quand on le touche, joue le son correspondant. Les autres applications comme coussin-péteur, antimoustique, etc. fonctionnent de la même façon.
Chaque application installée tente de faire installer les applications similaires du même développeur à l’utilisateur. L’autre comportement encore plus suspect des applications de ce développeur est le vol de données personnelles telles que les contacts,  le numéro de téléphone et le numéro IMEI du smartphone. Ces données sont transmises, en clair, au serveur de Typ3-Studios, ce qui ajoute à l'impression qu’il s'agit bien d’un logiciel malveillant. Après la découverte de Jiang, les équipes de sécurité du Google Market ont retiré ces applications du marché.

Étape 2 : Deuxième tentative... et succès
Fin août 2011, Typ3-Studios a publié une nouvelle série d'applications, très semblable à celles décrites précédemment. Seule la couleur de fond des icônes a été changée. Elles montrent le même comportement que les versions potentiellement malveillantes, mais n’ont pas encore été ôtées du Market de Google, (statut 13/02/2012).


Pourquoi ces applications n’ont-elles pas été à nouveau retirées?
Dans la version Android.Riskware.SndApps.B, la seule indication d'un changement est le contrat de licence utilisateur final ajoutée (en abrégé: CLUF). Son retour à l'existence est annoncé par un avis simple dans le «Quoi de neuf» de Google Market. Là, on peut lire : "S'il vous plaît, lisez la nouvelle politique de confidentialité et les conditions d'utilisation dans le menu de l’application." En outre, la permission d’insérer le service de publicité au démarrage du système a été ajoutée. L‘interprétation de ce comportement comme malveillant semble maintenant entravée par le fait qu’il soit simplement mentionné - en particulier lorsque l'utilisateur approuve cette situation.

Mais, le CLUF de toutes les applications mentionnées n'est visible que si l'utilisateur appuie sur la touche Menu du smartphone. L'utilisation des applications étant seulement de jouer un son par pression sur l’écran il est très évident que la majorité des utilisateurs ne verront jamais ce contrat de licence - ils sont implicitement d'accord sur ce CLUF en utilisant l'application.
Le début du CLUF se lit comme suit: "En utilisant cette application mobile (l’« application»), vous acceptez d'être lié par la présente Politique de confidentialité et les conditions d'utilisation." La simple existence d’un CLUF semble donc être suffisant à Google pour laisser passer cette application- du moins, c'est ce que cette situation laisse penser.
Un autre point que les développeurs ont dû changer pour ne pas se faire expulser à nouveau est le chiffrement de la transmission des données utilisateur. 
Les applications de Typ3-Studios sont aujourd’hui disponibles sur le Google Market. L’application « coussin péteur » a, par exemple, été téléchargée plus de 10 000 fois.

Conclusion: Malware ou Riskware ?
La classification des logiciels devient de plus en plus difficile, surtout lorsque l'utilisateur accepte des autorisations douteuses.
La seule existence d'un CLUF ne devrait pas suffire à légitimer un comportement suspect. Autre tendance douteuse : le CLUF n'est pas facilement accessible pour l'utilisateur. Une application qui inclut des autorisations et un CLUF qui sont au-delà du cas d'utilisation de l'application n’est généralement pas exempte de tout reproche. Dans de telles situations, l’appellation Riskware doit être utilisée afin d’attirer l'attention de l'utilisateur.


Ce que vous devez garder à l'esprit lorsque vous installez une application
N'utilisez que des sources dignes de confiance pour installer le logiciel. Dans le Google Market, lire les commentaires afin de vous tenir informé.
Le Google Market affiche également les autorisations de l'application souhaitent obtenir pour fonctionner. Évaluer si vous voulez attribuer ces autorisations demandées. Les logiciels de sécurité comme G Data MobileSecurity pour Android peuvent afficher ces autorisations, même après l'installation. 

Annonce du 13. février 2012

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr