La faille dans le magasin d’applications du système d’exploitation Android de Google, le Play Store, était de taille. Des développeurs ont réussi à se jouer des protections de l’éditeur et à duper un million de personnes qui ont téléchargé une fausse application Whatsapp.
La messagerie, détenue par Facebook, compte 1,2 milliard d’utilisateurs actifs. En voulant mettre à jour leur logiciel mobile, un million d'utilisateurs se sont ainsi vus proposer une application «Update WhatsApp Messenger», développée par une entreprise dénommée WhatsApp Inc. Voilà qui présentait toutes les apparences de l’application officielle. Mais en réalité, tous ces utilisateurs ont téléchargé un malware publicitaire, les pop-ups de publicité intempestifs permettant de financer les concepteurs-fraudeurs.
Cité par le site thehackernews.com, dextersgenius, un utilisateur de Reddit qui a téléchargé cette fausse application explique : «L’application en elle-même a des accès minimaux [Internet], mais c’est un programme de téléchargement de publicités qui a un code pour télécharger un second fichier Android Package [APK, un format de fichiers], qui s’appelle "whatsapp.apk".» Ce fichier activait l'installation d'un autre programme malveillant.
Alerté, le Play Store l’a enlevé de sa plateforme. Mais les concepteurs ont tout de suite réagi en le renommant «Dual Whatsweb Update». Il a été de nouveau retiré.
Comment les concepteurs peuvent-ils tromper les utilisateurs et le Store de Google?
Il s’agit d’être astucieux : le programme fraduleux était nommé avec un code WhatsApp+Inc%C%AO. L’algorithme de sécurité ne pouvait rapprocher le nom ainsi déguisé à une contrefaçon de Whatsapp. En revanche la fin du code, «+Inc%C%AO», correspond sur la plateforme à un espace invisible : l’utilisateur ne lit donc que «Whatsapp». De même, le malware ne remplaçait pas le Whatsapp déjà installé qui continuait de fonctionner. Il venait juste s’ajouter dans les applications déjà existantes avec une icône transparente et aucun nom en dessous. Ni vu ni connu !
Google démuni par ses failles
L'application a finalement été retirée de la plateforme. Mais c’est un incident regrettable pour Google qui n’arrive pas à éliminer les imposteurs, alors que la société vient de sortir un programme de sécurité à la mi-octobre, l’Android bug bounty, selon le site thehackernews. Il invite les initiés en technologie à identifier les failles du système et leur offre à l'occasion une récompense de 1 000 dollars, .
De plus il y a eu des précédents : une autre fraude à l'application Whatsapp a déjà affecté les utilisateurs via le Play Store. Il s'agissait du WhatsApp Gold, un malware qui volait les coordonnées des cartes de crédit et les données personnelles des possesseurs d'Android, comme l'a révélé le site hackread.com.