Une fausse application Pokémon GO vous regarde…

Si vous ne connaissez pas encore, vous allez le découvrir sans doute très prochainement : il s’agit d’un jeu en ligne pour smartphones, et il se répand partout dans le monde à la vitesse de l’éclair !

Il fonctionne comme décrit ci-dessous.

Vous installez la fausse application Pokémon GO, en lui donnant l’accès à votre localisation ainsi qu’à votre appareil photo (parmi beaucoup d’autres permissions d’ailleurs), et enfin vous vous mettez à chercher les créatures Pokémon dans le jeu en question.

Cependant, contrairement à d’autres jeux “virtuels”, le carte utilisée par l’application Pokémon GO est en réalité le monde autour de vous, et les créatures que vous êtes supposés trouver son ajoutées à cette carte.

Pour les récupérer, vous devez vous rendre à l’endroit où ces créatures virtuelles sont supposées se trouver.

Lorsque le jeu estime que vos données de géolocalisation sont assez poches de la cible, vous allumez alors votre appareil photo, et hop regardez le résultat !

La créature est bien là, greffée dans l’image live, dans ce que nous appelons la “réalité augmentée“.

Une fois que vous avez attrapé les 3 premières créatures Pokémon, vous devez vous aventurer aux alentours pour débusquer les PokéStops.

Les PokéStops sont supposés être proches d’importants points de repère, tels que des statues et autres monuments (le plus proche pour nous est le skate-Park local), où vous devez vous procurer davantage de munitions, désolé, de PokéBalls, afin de mettre la main sur encore plus de personnages.

Une fois que vous avez récupéré des balls, vous pouvez enfin déambuler autant que vous le voulez à la recherche de Pokémons à éliminer, désolé, à capturer, ahhhhh, pour vous entraîner !

Evidemment, en arpentant un paysage urbain, tout en regardant l’écran de votre téléphone portable est à la fois dangereux et plutôt antisocial, selon les mises en garde des applications à chaque fois que vous les lancer :

Popularité fulgurante

Nous ne sommes pas sûrs d’avoir bien compris pourquoi se rendre au skate-Park, pour observer le monde au travers de l’appareil photo de son smartphone, est plus amusant que de s’y rendre pour faire du skate tout simplement, ou encore pour observer le monde avec ses propres yeux. Cependant, la popularité fulgurante de l’application Pokémon Go ne peut quant à elle pas se démentir !

Même le moteur de recherché le plus inefficace vous affichera des douzaines d’articles offrant des conseils, allant des solutions au problème de “GPS non détecté” aux erreurs concernant “où évoluer et où se recharger“.

Apparemment, le succès de l’application Pokémon GO a également été un problème : des serveurs surchargés, des retards dans le processus d’inscription, et bien plus encore…

Pour cette raison, le jeu n’est disponible que sur l’App Store d’Apple et sur Google Play, et ce dans quelques pays seulement.

Néanmoins, comme vous pouvez le voir dans les captures d’écran ci-dessous, nous avons réussi à installer l’application Pokémon GO sous Android au Royaume-Uni, mais aussi à la faire fonctionner correctement, avec de plus des cartes anglaises et une infrastructure de jeu qui fonctionne très bien.

De fait, le jeu est déjà très populaire, ici, en Angleterre, ce qui signifie que …

… beaucoup de joueurs ont déjà eu accès au marché parallèle, pour mettre la main sur l’application Pokémon GO de manière non officielle :

Nous ne sommes pas naïfs au point de penser que Google Play est immunisé contre les malwares.

Nous ne sommes pas non plus convaincus par les efforts de Google en 2015, pour traiter le problème des malwares dans Play Store en classant tout simplement tous les malwares comme des applications potentiellement dangereuses (ironiquement divisées en catégories telles que spyware, call_fraud, ransomware, et même generic_malware).

Cependant, les avertissements de Google au sujet d’applications peu fiables méritent d’y prêter attention, car Play Store est réputé plutôt fiable, comparé aux autres alternatives sur le marché des applications, où tout circule, et où tout le monde peut uploader n’importe quoi.

Pokémon Go malware

En réalité, les cybercriminels sont déjà passés par là, avec au moins une version “malware remix“, piratée de l’application Pokémon GO officielle qui circule déjà.

Le “remix” est délibérément infecté avec toolkit Android nommé spyware/RATware/zombie, qui dissimule du code malware à l’intérieur d’une application fonctionnant parfaitement, et qui ressemble à s’y méprendre à l’application originale.

Un spyware est un malware qui espionne vos activités en ligne, comme l’écoute de vos appels téléphoniques, l’interception de SMS et le pistage de tous vos navigateurs internet. Les RATs, un acronyme inventé pour décrire le genre de personnages qui les utilise, typiquement pour espionner secrètement les internautes au travers de leurs webcams. Les zombies, connus aussi sous le nom de bots, sont des outils de prise de contrôle à distance qui permettent aux cybercriminels d’envoyer des commandes à une population assez importante d’équipements infectés, et ce en même temps, par exemple pour voler des données, envoyer des messages en masse, mener des attaques DDoS au sein des serveurs d’autres personnes en y insérant de manière massive du trafic non désiré.

Les produits Sophos bloquent ce Pokémon GO malware de façon proactive sous le nom de Andr/SandRat-C, un nom qui est un dérivé de SandroRAT, un remote control toolkit qui a été annoncé publiquement de retour en 2014, et qui s’est transformé en un “produit” snoopware, dénommé DroidJack, ou encore DJ en plus court.

LA fameuse question

La fameuse question, si vous êtes l’un de ces utilisateurs, sans frontière qui a fait ses courses sur le marché parallèle pour acquérir votre Pokémon GO, est la suivante : “seriez-vous capables de reconnaître une version falsifiée si vous en téléchargiez un par erreur ?“.

DroidJack ne crée pas une application qui ressemble et se comporte de la même manière que l’application originale juste pour faire office de couverture.

Il prend une application existante et la transforme en une application qui est effectivement originale, mais avec l’ajout de code orienté spywares qui s’exécute en tâche de fond.

Par exemple, voici les écrans de démarrage de la version originale et d’une version infectée par un malware :

Les captures d’écrans ainsi que les programmes qui les contrôlent n’ont pas juste l’air identique, ils sont identiques.

Remarquer la différence

Bien sûr, il existe des signes précis, si vous savez ce que vous recherchez.

Le remix Andr/SandRat-C de l’application Pokémon GO comporte toute une série de fonctionnalités additionnelles malveillantes, qui fonctionnent en tâche de fond. Ainsi, il exige des permissions de sécurité que l’application officielle ne demande pas :

Cependant les permissions ne sont pas toujours de bons indices fiables : les applications originales demandent fréquemment, comme Pokémon GO le fait, des permissions pour accéder à votre appareil photo par exemple (qui va avec l’accès au micro), et à vos données de localisation, ainsi qu’à un stockage externe.

Un spyware Trojan, qui était légèrement moins ambitieux que Andr/SandRat-C, en restant focalisé sur une quantité plus restreintes de fonctionnalités indiscrètes, pouvait néanmoins vous mettre en plus grand danger avec peu ou pas de permissions additionnelles.

Dans tous les cas, quelle est la limite à ne pas dépasser en matière de permission ?

Par exemple, l’application Google Play que vous obtenez sous Android 5.1, avec des sources fermées, permet plus de 100 permissions spéciales pour l’application en question, avec READ_VOICEMAIL et READ_GMAIL, en passant par CAPTURE_VIDEO_OUTPUT, puis DOWNLOAD_WITHOUT_NOTIFICATION (si ces dernières ne suffisent pas il s’autorise en plus un OBSERVE_GRANT_REVOKE_PERMISSIONS, au cas où).

A l’intérieur de SandRat

En décompilant l’application Andr/SandRat-C, les parties malveillantes apparaissent, et ce même si vous ne disposez pas de la version originale de l’application Pokémon GO pour faire une comparaison :

La fonctionnalité de ces parties DroidJack additionnelles sont, en effet, ce que leurs noms suggèrent.

Cependant, tout comme avec les permissions additionnelles, les malwares ne sont pas nécessairement si évidents à décodés, et même un utilisateur très bien informés, avec les outils de développement Android peut rencontrer des difficultés pour repérer l’aiguille malicieuse dans la botte de foin d’une application piégée !

Par exemple, des spywares plus subtils peuvent ajouter que très peu de fonctions, en leur donnant des noms à l’allure officielle, et en intégrant le code malveillant directement au sein de parties existantes de l’application, rendant ainsi la visibilité plus compliquée dans le package global de l’application en question.

Après tout, même pour un expert, certains composants de la version originale de l’application Pokémon GO, peuvent paraître suspects à première vue :

Dans un écosystème de programmation où les noms tels que spacemadness.com.lunarmodule et javax.inject sont inévitables, même le composant d’un malware légèrement dissimulé peut effectivement se retrouver impossible à repérer, bien que visible aux yeux de tous !

Quoi faire ?

• Eviter les applications avec une réputation faible ou inexistante. Ne faites pas confiance à une application que personne ne semble connaitre.
• Restez avec Google Play si vous le pouvez. Malgré cet événement et les autres problèmes récents, il reste fiable comparé aux autres marchés Android sans réglementation, où à peu près tout circule.
• Utilisez un anti-virus Android. Sophos Mobile Security est gratuit, et vous protège automatiquement contre les applications malveillantes et à faible réputation.
• Gérer vos téléphones professionnels de manière centralisée. Sophos Mobile Control, par exemple, vous permet de contrôler un certain nombre d’options, telles que celles permettant d’autoriser ou non des applications provenant de sources peu fiables au niveau des téléphones à usage professionnel.

Billet inspiré de Fake Pokémon GO app watches you, tracks you, listens to your calls par Paul Ducklin, Sophos NakedSecurity.