Un adware est généralement considéré comme une nuisance qui ne porte pas de réels préjudices. Cependant, au cours d’une récente recherche, SophosLabs a vu des adwares dans Google Play qui faisaient plus que simplement diffuser des publicités. Cette famille d’adwares peut faire de la collecte de données et recueillir les informations personnelles de l’utilisateur, y compris l’adresse électronique, et les envoyer à un serveur distant.
Sophos détecte cette bibliothèque d’adwares en tant qu’Android XavirAd et le composant de vol de données sous le nom Andr/Infostl-BK.
XavirAd se retrouve dans plus de 50 applications Google Play, dont certaines ont été téléchargées plus d’un million de fois. L’ensemble des applications touchées représente environ 55 millions de téléchargements, a déclaré Chen Yu, expert au SophosLabs. L’une de ces applications est Add Text on A Photo.
Lorsque ces applications sont installées, les utilisateurs vont voir s’afficher une publicité en plein écran à intervalles réguliers, et ce même lorsque l’application est fermée. Par exemple :
Les utilisateurs vont rapidement remarquer que quelque chose ne va pas, après avoir téléchargé ces applications, et leur mécontentement peut se ressentir nettement au sein du Google Play Store :
Mais XavirAd peut faire plus que simplement afficher des publicités. Une fois l’application démarrée, la bibliothèque XavirAd contacte son serveur et obtient le code de configuration :
Le serveur répond avec les paramètres de la publicité, incluant les intervalles d’affichage en plein écran, et les enregistre dans les préférences partagées. Le domaine api-restlet.com enregistré à cette fin, semble avoir un an et demi, avec des origines au Vietnam :
Il télécharge ensuite un autre fichier .dex à partir de cloud.api-restlet.com :
Le fichier .dex téléchargé effectue une collecte de données visant les informations suivantes à partir du téléphone de l’utilisateur :
- L’adresse email de l’utilisateur pour son compte Google.
- La liste des applications installées.
- L’Identificateur IMEI et l’android_id.
- La résolution de l’écran.
- Le fabricant, le modèle, la marque, et la version d’OS.
- L’opérateur SIM.
- La source d’installation de l’application.
Ensuite, il les chiffre et les envoie à une adresse web :
Toutes ces actions se produisent alors que l’application déclare dans sa politique de confidentialité qu’elle ne réalise PAS de collecte de données personnelles.
XavirAd travaille très dur pour rester cacher vis-à-vis des contrôles de sécurité, a déclaré Yu. Les séquences de caractères qu’il utilise sont toutes chiffrées. Chaque classe possède sa propre routine de déchiffrement au sein du constructeur de classe. Bien que l’algorithme reste le même, les clés sont différentes pour chaque classe.
Yu a déclaré qu’ XavirAd a utilisé également une technologie anti-sandbox pour se cacher de l’analyse dynamique. Il stoppe son comportement malveillant s’il découvre qu’il fonctionne dans un environnement de test. Tout d’abord, il vérifie l’émulateur :
Il vérifie ensuite les séquences suivantes au niveau de l’émulateur :
Il vérifie également l’adresse électronique de l’utilisateur concernant une autre barrière de protection, qui ne concerne pas les environnements de test. Si l’adresse électronique contient les séquences suivantes, il stoppe son action :
Les applications Google Play suivantes contiennent XavirAd, et les utilisateurs risquent de chercher à les éviter :
Billet inspiré de The Google Play apps that say they don’t collect your data – and then do, sur Sophos nakedsecurity.