Symantec rapporte que le Google Play Store a été l'hôte d'un malware Android dénommé Sockbot. En cause, au moins huit applications infectées qui ont généré un total de 600 000 à 2,6 millions d'installations.
Déployées par un même développeur du nom de FunBaster, les applications ont été supprimées par Google en début de mois. C'est quasiment une habitude, les applications proposaient des skins pour le populaire jeu Minecraft (Pocket Edition).
Une application infectée par Sockbot cherchait à établir une connexion avec un serveur de commande et contrôle, et pour l'ouverture d'un socket utilisant le protocole SOCKS. Pour l'essentiel, Symantec évoque un botnet pour la diffusion de publicités et mener des attaques DDoS.
Une application infectée par Sockbot (crédit : Symantec)
Outre des méthodes d'obfuscation du code malveillant, chaque application infectée était signée avec une clé différente du développeur. Pour Symantec, cela aide à passer entre les mailles du filet de certaines analyses.
Il est en tout cas très désagréable d'entendre que le Google Play Store a encore été incapable de détecter de telles applications infectées. Le malware a principalement ciblé des utilisateurs aux États-Unis, avec également une présence en Russie, Ukraine, Brésil et en Allemagne.
À la fin du mois d'août dernier, le botnet Android WireX a été démantelé et le Google Play Store s'était aussi fait avoir avec de nombreuses applications infectées. Elles avaient été supprimées à distance sur les appareils affectés, et avec une prise en compte dans Google Play Protect (fonctionnalité de sécurité).
