Les applications malveillantes représentent une menace majeure pour les utilisateurs de smartphones. Que vous préfériez iOS ou Android, une app infectée peut ruiner votre journée. Si le Google Play Store regorge d'applications malveillantes, la réputation jadis impeccable de l'App Store d'Apple est entamée.
Pourquoi les cybercriminels ciblent-ils votre smartphone ? Pour l'argent et les données personnelles. De nombreuses apps échappent à l'infection. Comment les malwares s'y prennent-ils pour contaminer une application ?
Évaluer l'ampleur des apps mobiles malveillantes est complexe dans un marché en évolution rapide. Un point est clair : aucun système d'exploitation mobile n'est épargné. Les utilisateurs Android ont affronté les attaques HummingWhale, Judy et Xavier, tandis que les iPhone ont subi XcodeGhost.
Une étude de 2014 du projet ANDRUBIS [PDF] a analysé 1 034 999 applications Android provenant de sources variées, y compris marchés tiers, torrents et Google Play Store. Sur 125 602 apps du Play Store, 1,6 % (2 009) étaient malveillantes.
Les données sur l'App Store sont plus rares, mais des cas documentés existent. Cependant, iOS reste bien protégé : le rapport Pulse Secure 2015 [Lien rompu] estime que 97 % des malwares mobiles visent Android, chiffre porté à 99 % par F-Secure en 2017 [PDF]. En 2013, le Département de la Sécurité intérieure des États-Unis évaluait à 0,7 % les malwares pour iOS [PDF].
Les deux OS leaders affichent des fortunes contrastées en matière de sécurité.
Qui est derrière l'infection d'une app ? Développeurs malhonnêtes, gangs criminels, hackers isolés ou même États ? Tous ont été impliqués.
Le développeur malveillant crée et publie une app piégée sur le Play Store ou équivalent. Heureusement, ils sont rares : développer, lancer et monétiser une app malveillante demande trop d'efforts pour un retour sur investissement faible.
Plus courant : insertion de code malveillant dans une app légitime, puis republication via diverses techniques.
La publicité malveillante prolifère. Elle s'infiltre via des canaux officiels, surprenant les utilisateurs dans des apps légitimes. Exemple : le trojan bancaire Svpeng sur Android, diffusé par des pubs Google AdSense infectées sur Chrome. Pire : l'infection se produit sans clic, juste en voyant la pub.
Apps légitimes téléchargées depuis des stores officiels sont modifiées et republiées avec des noms similaires (ex. : Micr0soft W0rd au lieu de Microsoft Word) sur divers app stores.
Le ransomware Android Charger et le malvertising Skinner ont utilisé cette tactique.
Un développeur légitime vend son app, avec sa base d'utilisateurs et ses mises à jour. Pas de cas documenté pour mobile, mais courant pour extensions Chrome. Exemple : extension de Amit Agarwal vendue, puis monétisée par pubs intrusives.
En tant que gardiens des principaux stores, ils ont une responsabilité clé et agissent pour préserver leur réputation.
Apple excelle : processus rigoureux de validation pour l'App Store, surface d'attaque réduite (moins d'appareils et versions). Normes élevées.
Google a renforcé sa défense avec Play Protect, qui scanne appareils et store en continu, suspend developers suspects et supprime les menaces.
Les malwares contournent les protections :
De multiples astuces pour rester invisibles.
Face à ces menaces, suivez ces conseils experts :
Sur Android, le risque est plus élevé, mais vigilance et mises à jour vous protègent.
Avez-vous rencontré un malware mobile ? Sur Android ou iOS ? Partagez vos expériences en commentaires !
Crédit image : iluslab via Shutterstock
[]