Les chercheurs de Kaspersky ont trouvé des preuves que des applications étaient présentes dans le Play Store depuis des années, distribuant des logiciels malveillants aux utilisateurs d’Android. Les applications ont été capables de voler des données aux propriétaires des appareils et elles ont été créées par des groupes de pirates informatiques, qui alimentent le dépôt officiel de Google depuis 2016.
Le côté positif est que Google dit avoir retiré l’application, juste après l’alerte que l’équipe de chercheurs de la société russe a donnée au géant de la recherche. En revanche, si dans le Play Store, le propriétaire du magasin agit rapidement, dans les dépôts APK, la préoccupation n’est pas la même et certaines des applications sont toujours disponibles dans APKpure.
Pour contourner le système de détection des logiciels malveillants de Google, les pirates ont envoyé une application sans échec pour évaluation. Le téléchargement a donc été publié et l’équipe a inséré la porte dérobée dans une mise à jour. Un autre moyen consiste à ne pas demander l’accès à l’appareil au moment de l’installation, mais à le demander ensuite en insérant le logiciel malveillant.
Une fois installées, les applications peuvent lire des informations telles que la version d’Android qui tourne sur le gadget et même la liste des applications installées. Avec la liste en main, une charge d’attaque a été créée spécifiquement pour chaque appareil, obtenant d’autres données telles que la liste d’appels, les contacts et les messages texte. Ce mode d’attaque personnalisé a également permis de ne pas être détecté par Google Play Protect.
Les chercheurs de Kaspersky, ainsi qu’un autre de BlackBerry, pensent que les attaques ont été créées par le groupe OceanLotus. Le groupe se concentre sur l’Asie, sur les membres du gouvernement en Chine et au Vietnam, avec une attaque récente contre le ministère de la gestion des urgences en Chine. À l’époque, l’objectif du malware était d’obtenir des informations liées à l’épidémie de COVID-19.