Clé à emporter
- Les cybercriminels dupliquent de vraies applications de smartphone et insèrent des logiciels malveillants.
- Les utilisateurs d'Android sont les plus exposés aux fausses applications.
- Le meilleur moyen d'éviter les fausses applications consiste à télécharger uniquement des applications à partir de magasins d'applications approuvés.
La prochaine application que vous téléchargerez peut sembler légitime, mais contient en fait un code nuisible qui pourrait voler vos informations personnelles.
Un nouveau rapport révèle que les cybercriminels dupliquent de vraies applications de smartphone et insèrent des logiciels malveillants. La société de cybersécurité Pradeo a découvert que les pirates utilisaient de fausses applications en dehors du Google Play Store officiel à partir de plus de 700 sites Web externes avec des magasins d'applications tiers. Il fait partie d'une industrie croissante d'applications réelles contenant du code malveillant.
"Les applications populaires avec des millions de téléchargements, comme Angry Birds, par exemple, sont des cibles de choix pour les cybercriminels", a déclaré Ray Kelly, un membre de la société de cybersécurité NTT Application Security à Lifewire dans une interview par e-mail. "Ces applications sont une copie directe ou un style similaire au jeu original pour inciter les utilisateurs à le télécharger et se trouvent généralement dans des magasins d'applications non officiels et sont téléchargées sans aucune protection, laissant un utilisateur sans méfiance vulnérable."
Réfléchissez avant de télécharger
Le rapport Pradeo avertit que les utilisateurs d'Android sont les plus exposés aux fausses applications. Il existe davantage de magasins d'applications non réglementés pour les téléphones Android, car la conception du système d'exploitation de Google signifie qu'il est plus facile de télécharger des applications en dehors du Play Store de Google.
Les chercheurs ont déclaré avoir identifié de nombreuses copies d'applications officielles, notamment Spotify, ExpressVPN, Avira Antivirus et The Guardian. Les fabricants d'applications prétendent que le logiciel est gratuit, mais en fait, ils infectent les appareils mobiles avec des logiciels malveillants, des logiciels espions et des logiciels publicitaires.
Les vulnérabilités du code et l'absence de bonnes pratiques de sécurité permettent aux pirates de copier et d'injecter facilement du code dans les applications mobiles.
Dans un exemple, le chercheur a rapporté avoir trouvé en ligne des centaines de versions modifiées de l'application Netflix originale. Plus qu'une simple imitation du nom et du logo de l'entreprise, l'interface des fausses applications Netflix ressemble presque à celle des anciennes versions de l'original. Les applications contrefaites avaient toutes été injectées avec des logiciels malveillants, des logiciels espions ou des logiciels publicitaires.
"Les vulnérabilités du code et le manque de bonnes pratiques de sécurité permettent aux pirates de copier et d'injecter facilement du code dans les applications mobiles", ont écrit les auteurs du rapport."En usurpant l'identité d'applications bien connues, les applications contrefaites incitent les utilisateurs à voler leurs informations personnelles et à commettre diverses fraudes."
Les utilisateurs qui essaient d'esquiver la configuration système requise sont souvent ceux qui se retrouvent avec une fausse application. Les utilisateurs d'Android peuvent trouver que leur téléphone est trop ancien ou non pris en charge par le Google Play Store. Ils se rendent donc sur l'un des sites tiers pour télécharger l'application qu'ils recherchent.
"Alors que les individus pensent qu'ils obtiennent une copie légitime d'une application, dans certains cas, ces clones ne sont vérifiés par aucune organisation de sécurité et sont, en fait, utilisés pour voler des identifiants de connexion et bancaires par des criminels", T Frank Downs, directeur principal des services proactifs de la société de cybersécurité BlueVoyant, a déclaré à Lifewire dans une interview par e-mail. "En conséquence, les utilisateurs ordinaires peuvent penser qu'ils utilisent une application bancaire ou une application d'achat, mais qu'ils transmettent en fait des informations clés à ces cybercriminels."
L'une des façons dont les fausses applications se propagent consiste à diffuser des publicités sur les sites de médias sociaux, en se faisant passer pour des entreprises légitimes, a déclaré Downs. Cependant, lorsque les utilisateurs cliquent sur l'annonce, ils sont dirigés vers un faux site pour télécharger un fichier APK. Parfois, les pirates communiquent même avec des applications de messagerie, comme WhatsApp, et aident les victimes à installer le code malveillant.
Rester en sécurité
La meilleure façon d'éviter les fausses applications consiste à télécharger uniquement des applications à partir de magasins d'applications approuvés, tels que le Google Play Store et l'App Store d'Apple. Vous ne devriez jamais télécharger des applications fournies par des personnes ou des organisations que vous ne connaissez pas, a déclaré Downs.
Cependant, des applications malveillantes peuvent parfois contourner les contrôles de sécurité des magasins d'applications officiels, a noté Michael Covington, vice-président de la stratégie de portefeuille de la société de cybersécurité Jamf dans une interview par e-mail.
"Les utilisateurs doivent toujours regarder de près les applications répertoriées sur les magasins d'applications officiels pour obtenir des indices critiques", a déclaré Covington. "L'icône de l'application semble-t-elle correcte ? Elle doit correspondre à la marque officielle de l'entreprise. Les informations sur le développeur sont-elles correctes ?"
Prenez le temps de consulter le site Web officiel de l'application, a déclaré Covington. Méfiez-vous si les avis des utilisateurs semblent faux ou sont-ils négatifs. Vous devriez lire les critiques les plus récentes, ainsi que celles qui sont négatives, pour vous familiariser avec ce que les autres ont dit.
"Ne vous fiez pas aux critiques les plus populaires affichées car elles peuvent être falsifiées", a ajouté Covington. "Ce sont tous de bons signes que l'application n'est pas la vraie."