Des applis Android à plus de 100 millions de téléchargements infectées

Selon un rapport de l'équipe Mobile Research de McAfee, un adware a infecté une soixantaine d'applications Android qui cumulent plus de 100 millions de téléchargements… et Google Play n'a pas été épargné.

Dénommé Goldoson en référence à une bibliothèque logicielle éponyme, le nuisible semble avoir particulièrement ciblé la Corée du Sud. Cette bibliothèque injecte du code HTML dans une WebView personnalisée et cachée.

Le but est de générer du trafic à l'insu de l'utilisateur, en consultant des URL de manière pouvant être répétée à l'infini. De quoi par exemple charger des publicités à des fins lucratives.

Adware et collecte de données

Des données collectées sont en outre communiquées. Elles comprennent la liste des applications installées sur un appareil, l'historique de localisation, les adresses MAC d'appareils Bluetooth et Wi-Fi à proximité qui sont connectés.

Un recoupement de telles données peut permettre d'identifier des utilisateurs, même si la possibilité de recueillir des données dépend des autorisations accordées. Par ailleurs, les versions plus récentes d'Android sont mieux armées contre la collecte arbitraire de données.

Membre de l'App Defense Alliance, McAfee indique avoir alerté Google de ses trouvailles. De son côté, Google a signalé aux développeurs concernés que leurs applications ont été infectées. En retour, certaines applications ont tout simplement été supprimées de Google Play, tandis que d'autres ont été mises à jour dans le cadre d'une action correctrice qui consiste à éradiquer la bibliothèque logicielle malveillante.

Applications infectées par Goldoson

Dans un billet de blog, McAfee dresse la liste des applications Android pour lesquelles il a été identifié la présence de Goldoson. Comme souligné précédemment, elles s'adressent principalement - mais pas seulement - à des utilisateurs en Corée du Sud.

Parmi les applications infectées et avec des nombres de téléchargements élevés, il y a :