Des applications Google Play qui disent ne pas faire de collecte de données, mais qui en font !

Protection de la vie privée

Des applications Google Play disent ne PAS faire de collecte de données mais font beaucoup plus que d’afficher de la publicité, en récupérant des informations personnelles des utilisateurs, et en les envoyant vers un serveur distant.

collecte de données

Un adware est généralement considéré comme une nuisance qui ne porte pas de réels préjudices. Cependant, au cours d’une récente recherche, SophosLabs a vu des adwares dans Google Play qui faisaient plus que simplement diffuser des publicités. Cette famille d’adwares peut faire de la collecte de données et recueillir les informations personnelles de l’utilisateur, y compris l’adresse électronique, et les envoyer à un serveur distant.

Sophos détecte cette bibliothèque d’adwares en tant qu’Android XavirAd et le composant de vol de données sous le nom Andr/Infostl-BK.

XavirAd se retrouve dans plus de 50 applications Google Play, dont certaines ont été téléchargées plus d’un million de fois. L’ensemble des applications touchées représente environ 55 millions de téléchargements, a déclaré Chen Yu, expert au SophosLabs. L’une de ces applications est Add Text on A Photo.

collecte de données

Lorsque ces applications sont installées, les utilisateurs vont voir s’afficher une publicité en plein écran à intervalles réguliers, et ce même lorsque l’application est fermée. Par exemple :

collecte de données

Les utilisateurs vont rapidement remarquer que quelque chose ne va pas, après avoir téléchargé ces applications, et leur mécontentement peut se ressentir nettement au sein du Google Play Store :

collecte de données

Mais XavirAd peut faire plus que simplement afficher des publicités. Une fois l’application démarrée, la bibliothèque XavirAd contacte son serveur et obtient le code de configuration :

collecte de données

Le serveur répond avec les paramètres de la publicité, incluant les intervalles d’affichage en plein écran, et les enregistre dans les préférences partagées. Le domaine api-restlet.com enregistré à cette fin, semble avoir un an et demi, avec des origines au Vietnam :

collecte de données

Il télécharge ensuite un autre fichier .dex à partir de cloud.api-restlet.com :

collecte de données

Le fichier .dex téléchargé effectue une collecte de données visant les informations suivantes à partir du téléphone de l’utilisateur :

  • L’adresse email de l’utilisateur pour son compte Google.
  • La liste des applications installées.
  • L’Identificateur IMEI et l’android_id.
  • La résolution de l’écran.
  • Le fabricant, le modèle, la marque, et la version d’OS.
  • L’opérateur SIM.
  • La source d’installation de l’application.

Ensuite, il les chiffre et les envoie à une adresse web :

collecte de données

collecte de données

Toutes ces actions se produisent alors que l’application déclare dans sa politique de confidentialité qu’elle ne réalise PAS de collecte de données personnelles.

collecte de données

XavirAd travaille très dur pour rester cacher vis-à-vis des contrôles de sécurité, a déclaré Yu. Les séquences de caractères qu’il utilise sont toutes chiffrées. Chaque classe possède sa propre routine de déchiffrement au sein du constructeur de classe. Bien que l’algorithme reste le même, les clés sont différentes pour chaque classe.

collecte de données

Yu a déclaré qu’ XavirAd a utilisé également une technologie anti-sandbox pour se cacher de l’analyse dynamique. Il stoppe son comportement malveillant s’il découvre qu’il fonctionne dans un environnement de test. Tout d’abord, il vérifie l’émulateur :

collecte de données

Il vérifie ensuite les séquences suivantes au niveau de l’émulateur :

collecte de données

Il vérifie également l’adresse électronique de l’utilisateur concernant une autre barrière de protection, qui ne concerne pas les environnements de test. Si l’adresse électronique contient les séquences suivantes, il stoppe son action :

collecte de données

Les applications Google Play suivantes contiennent XavirAd, et les utilisateurs risquent de chercher à les éviter :

collecte de données


Billet inspiré de The Google Play apps that say they don’t collect your data – and then do, sur Sophos nakedsecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s