Les chercheurs en sécurité ont découvert deux applications de gestion de fichiers malveillantes sur Google Play avec un nombre d’installations collectives de plus de 1,5 million qui ont collecté des données utilisateur excessives qui vont bien au-delà de ce qui est nécessaire pour offrir la fonctionnalité promise.
Les applications, toutes deux du même éditeur, peuvent être lancées sans aucune interaction de l’utilisateur pour voler des données sensibles et les envoyer à des serveurs en Chine.
Bien qu’elles aient été signalées à Google, les deux applications sont toujours disponibles sur Google Play au moment de la publication.
File Recovery and Data Recovery, identifié comme « com.spot.music.filedate » sur les appareils, compte au moins 1 million d’installations. Le nombre d’installations pour le gestionnaire de fichiers lit au moins 500 000 et il peut être identifié sur les appareils comme « com.file.box.master.gkd ».
Les deux applications ont été découvertes par le moteur d’analyse comportementale de la société de solutions de sécurité mobile Pradeo et leur description indique qu’elles ne collectent aucune donnée utilisateur de l’appareil dans la section Sécurité des données de leur entrée Google Play.
Cependant, Pradeo a constaté que les applications mobiles exfiltraient les données suivantes de l’appareil :
- Liste de contacts des utilisateurs à partir de la mémoire de l’appareil, des comptes de messagerie connectés et des réseaux sociaux.
- Images, audio et vidéo gérés ou récupérés à partir des applications.
- Localisation de l’utilisateur en temps réel
- Indicatif pays mobile
- Nom du fournisseur de réseau
- Code réseau du fournisseur SIM
- Numéro de version du système d’exploitation
- Marque et modèle de l’appareil
Bien que les applications puissent avoir une raison légitime de collecter certains des éléments ci-dessus pour garantir de bonnes performances et une bonne compatibilité, une grande partie des données collectées n’est pas nécessaire pour les fonctions de gestion de fichiers ou de récupération de données. Pour aggraver les choses, ces données sont collectées secrètement et sans obtenir le consentement de l’utilisateur.
Pradeo ajoute que les deux applications masquent les icônes de leur écran d’accueil pour les rendre plus difficiles à trouver et à supprimer. Ils peuvent également abuser des autorisations que l’utilisateur approuve lors de l’installation pour redémarrer l’appareil et le lancer en arrière-plan.
Il est probable que l’éditeur ait utilisé des émulateurs ou installé des fermes pour gonfler la popularité et rendre ses produits plus fiables, spécule Pradeo.
Cette théorie est étayée par le fait que le nombre d’avis d’utilisateurs sur le Play Store est bien trop faible par rapport à la base d’utilisateurs signalée.
Il est toujours recommandé de vérifier les avis des utilisateurs avant d’installer une application, de prêter attention aux autorisations demandées lors de l’installation de l’application et de ne faire confiance qu’aux logiciels publiés par des développeurs réputés.