Pour éviter les applications malveillantes sur Android, n’installez rien qui vienne de l’extérieur du Play Store ou qui ait peu de téléchargements. Cette recommandation de sécurité n’a pas fonctionné dans le cas le plus récent : une fausse WhatsApp a été téléchargée plus d’un million de fois dans la boutique officielle de Google.
L’astuce a été bien faite : l’application dans Google Play s’appelait “Update WhatsApp Messenger”, avait la même identité visuelle que l’original et a été créée par le développeur “WhatsApp Inc”, exactement le même nom que Facebook utilise pour distribuer la version légitime.
Mais comment Google a-t-il permis à quelqu’un d’autre d’adopter le même nom de développeur que l’original ? En fait, l’attaquant a inclus un caractère Unicode qui était invisible sur Google Play; le nom sur le lien était ?WhatsApp+Inc%C2%A0…, et le système de Google a apparemment compris que c’était différent de ?WhatsApp Inc…, comme le montre The Hacker News.
L’application malveillante ne nécessitait que peu d’autorisations (elle n’avait besoin que d’accéder à Internet après tout). Une fois ouvert, le malware affiche une page web pleine de publicités et essaie de télécharger un deuxième APK, appelé “whatsapp.apk” selon une analyse d’un utilisateur de Reddit.
Elle a déjà été retirée par Google, mais la fausse WhatsApp a trompé plus d’un million de personnes qui ont fait confiance au Play Store et aux plus de 6 000 évaluations des magasins Google, qui ont obtenu en moyenne 4,2 étoiles ? très proche des 4,4 étoiles de la vraie application.
Lorsque ni le filtre Google Play ne fonctionne, ni Play Protect, ni l’analyse de popularité et les évaluations des utilisateurs ne fonctionnent, la recommandation pour rester en sécurité sur Android est la suivante : ¯_( ?)_/¯
