Des chercheurs en cybersécurité pour la protection des entreprises et plateformes internet viennent de publier un rapport sur de nouveaux virus. Une centaine d’applications ont été infectées au cours de ces trois dernières années par des virus sur Google Play Store et sur l’App Store d’Apple. En tout, cela représenterait environ 13 millions de téléchargements et cela ne choque plus personne. Les malwares ont été nommés Scylla et Charybde. Ils découlent du virus déjà connu appeler Poséidon. Dans les catalogues officiels que proposent Apple et Google pour le téléchargement d’applications, de nombreux virus y sont découverts régulièrement. Cela montre que nous ne sommes jamais parfaitement protégés des malwares.
Scylla : Histoire d’un malware mal-aimé
Cette épopée débute en 2019. Des chercheurs découvrent une quarantaine d’applications Android contaminées par un nouveau virus. Il sera baptisé « Poséidon ». Il s’agit d’un logiciel qui convoite des circuits publicitaires. Ce dernier ouvre des milliers de pages publicitaires afin de percevoir un maximum de bénéfices. C’était un virus rudimentaire et mal dissimulé. Rapidement découvert, les applications visées ont été supprimées du Play Store hâtivement.
2020-2021, « Charybde » a fait son apparition. Ce dernier est également rudimentaire, mais bien mieux caché que le virus d’origine.
Aujourd’hui, c’est au tour de « Scylla » de faire son entrée. C’est la troisième génération. Celui-ci est bien plus raffiné et extrêmement mieux dissimulé. Il parvient, d’ailleurs, à ne pas se faire repérer des antivirus. Ce logiciel publicitaire, qui totalise plus de 13 millions d’installations, se cache aussi bien dans des applications sur iOS que sur Android.
Les développeurs ont publié environ 70 applications Android et une dizaine d’applications iOS. Tout cela, en déjouant tous les contrôles de sécurités. Il est pourtant connu, que les contrôles d’Apple sur les codes sont très rigoureux et les règles en matière d’écritures des applications sont intransigeantes.
Comment fonctionne Scylla ?
Scylla est le héros du moment. Il s’agit d’un logiciel utilisant votre smartphone comme une « machine à cliquer » sur des bandeaux publicitaires. Chaque clic sur les bannières est rémunéré comme s’il s’agissait d’un véritable clic utilisateur. Il détourne les outils de développement (SDK). Dans un premier temps, le logiciel change son identifiant, prend l’apparence d’une application plus connue pour obtenir des publicités mieux rémunérées. Il charge des publicités dans des fenêtres dissimulées afin de ne pas être visibles par l’utilisateur du smartphone puis simule tout un tas de clics afin d’augmenter les revenus.
Toutes ces étapes se font lorsque vous n’utilisez pas votre téléphone. C’est à ce moment que vous avez cette impression étrange que votre batterie se décharge bien plus rapidement que d’habitude ou que votre consommation de données (4G/5G) est bien plus importante qu’habituellement. Le téléphone travaille alors constamment,dès que vous le posez : le virus se met à l’action.
Les applications ciblées
Il a été publié la liste de toutes les applications infectées. Toutes les catégories sont touchées : jeux vidéo et jeux du solitaire, applications d’appareil photo ou de retouches photo…
Comment s’en débarrasser ?
Les utilisateurs d’Android risquent de voir un grand nombre d’applications supprimées de leur smartphone. Le système Google Play Protect supprime automatiquement les applications infectées des smartphones qui sont supprimés du Play Store. Dans la grande majorité des cas, les utilisateurs d’Android n’auront rien à faire pour supprimer les deux virus.
Pour les Utilisateurs iOS il n’y a qu’une dizaine d’applications concernées. Mais Apple ne possède pas de mécanisme comme sur Android. Chaque utilisateur d’iPhone et/ou d’iPad devra rechercher et supprimer manuellement les applications concernées.