Les chercheurs en sécurité du vendeur de solutions antivirus Symantec ont repéré sur Google Play deux logiciels malveillants mettant en oeuvre un processus de propagation à plusieurs niveaux pour passer inaperçus. Les deux applications, supprimées depuis par l'éditeur, se cachaient derrière les jeux « Super Mario Bros » et « GTA 3 - Moscow City » disponibles dans Google Play depuis le 24 juin. «  Ces jeux ont généré entre 50 et 100 000 téléchargements », a déclaré dans un blog Irfan Asrar, chercheur en sécurité chez Symantec.

Une fois installées, les applications téléchargeaient un paquet supplémentaire du nom de Activator.apk depuis un compte Dropbox. Un message incitait ensuite les utilsateurs à installer l'application Activator. Celle-ci s'occupait d'envoyer des messages SMS vers un numéro surtaxé localisé dans un pays à l'Est de l'Europe, après quoi l'application demandait à être désinstallée. « Ce système de livraison du malware en plusieurs étapes a permis aux applications de passer inaperçues pendant un certain temps sur Google Play », a déclaré le chercheur.

Une méthode connue

Plus tôt cette année, Google a commencé à utiliser un scanner automatisé pour détecter les malwares sur Google Play. L'outil d'analyse Bouncer fait tourner toutes les applications déposées pour validation dans un environnement Android émulé et surveille toute activité suspecte. Cependant, le fait de télécharger une seconde application depuis le serveur d'un développeur, et d'inviter ensuite l'utilisateur à l'installer, n'est pas nécessairement reconnu comme un comportement malveillant.

Ce n'est pas la première fois que des développeurs Android malintentionnés utilisent ce système à tiroir pour répandre des charges malveillantes utiles. Les menaces Android.Lightdd et Android.Jsmshider, découvertes en 2011, téléchargeaient deux composants supplémentaires après installation de l'application initiale. « Il y a plusieurs avantages à disperser la charge utile dans plusieurs applications », avait expliqué à l'époque Irfan Asrar. « D'une part, l'application malveillante initiale n'a plus besoin d'afficher une liste complète des autorisations qui pourrait attirer l'attention de l'utilisateur. Ensuite, si l'application initiale est téléchargée à partir de la boutique Android officielle - devenue depuis Google Play - l'utilisateur peut supposer que les applications supplémentaires proviennent aussi de la même source ».

Symantec a dénommé les deux logiciels malveillants détectés « Android.Dropdialer ». « Après avoir été alertée par Symantec, l'équipe de sécurité Android a immédiatement retiré la menace », a déclaré le chercheur.