Le 23 juin 2017

Les analystes de Doctor Web ont détecté sur Google Play plusieurs applications potentiellement dangereuses qui menacent principalement les utilisateurs ukrainiens. Au mois de mai 2017, en Ukraine, l'accès aux services d'un certain nombre de sociétés russes dont les réseaux sociaux VKontate et Odnoklassniki a été limité par décret présidentiel. Cela a augmenté la popularité des outils permettant de contourner le blocage, tels que le navigateur Tor, la technologie VPN et les outils « anonymizers ». Ces outils permettent de contourner le blocage des sites des réseaux sociaux " VKontakte" et "Odnoklassniki" mais d'une manière non sécurisée. Ils transmettent via des serveurs tiers et sous forme non chiffrée des noms d’utilisateurs et mots de passe, ainsi que tout le trafic lié à l'utilisation des réseaux sociaux, ce qui peut entraîner des fuites d’informations confidentielles.

Les analystes de Doctor Web ont détecté sur Google Play plusieurs applis permettant d'accéder aux sites bloqués Vkontakte et Odnoklassniki. Pour ce faire, les propriétaires d'appareils sous Android sont invités à indiquer leur nom d'utilisateur et mot de passe afin que les programmes en question s'authentifient dans les comptes utilisateur en contournant les limitations mises en place. Les spécialistes de Doctor Web ont identifié 8 programmes de ce type diffusés par les éditeurs suivants : JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri Yassir, affzakanab et simon faiz.

Toutes ces applications sont très semblables. Elles s'installent sur l'appareil mobile sous les noms «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» et «ВК Украина VPN»», et possèdent des icônes similaires. Au total, ces applis ont été téléchargés par plus de 122 000 utilisateurs, dont chacun court le risque d'avoir une fuite de données personnelles.

Le problème est que pour contourner le blocage des sites de réseaux sociaux, ces logiciels redirigent le trafic via un des « anonymizers » en ligne. Les anonymizers sont des serveurs spécialisés par lesquels transitent les requêtes réseau et qui masquent des informations sur les ordinateurs ou les appareils mobiles des utilisateurs afin de contourner la restriction liée aux visites des ressources web bloquées. Ces services sont populaires, par exemple, parmi les utilisateurs de réseaux d'entreprise où les administrateurs système ont interdit l'accès aux domaines des réseaux sociaux au niveau de la passerelle Internet.

Les noms d'utilisateurs et les mots de passe saisis sont transmis aux serveurs anonymizers sous forme non chiffrée et rien n'empêche les administrateurs de ces serveurs d'utiliser les informations reçues à des fins illégales. Ils pourraient par exemple se connecter à un réseau social au nom d'un utilisateur et envoyer des messages à son insu, ajouter des amis, rejoindre des groupes, lire des messages, regarder ses photos etc. Dans ce cas, l'utilisateur ne sait pas qu'il s'authentifie dans le réseau social via un domaine tiers, car la barre d'adresse ne s'affiche pas dans ces applis. Tous les échanges avec les sites des réseaux Vkontakte et Odnoklassniki en utilisant ces applis se font sans chiffrement ce qui permet de contrôler toutes les actions réalisées dans ces réseaux.

Même en supposant qu'une telle approche de la protection des informations confidentielles soit le fruit d’une erreur ou d’une ignorance des principes de sécurité informatique de la part des propriétaires d’anonymizers et des auteurs d'applications, il n'y a aucune garantie que le trafic non chiffré dans le réseau ne sera pas intercepté par des criminels.

Puisque l'utilisation de ces programmes peut entraîner une fuite d'informations personnelles, l'antivirus Dr.Web les détecte comme des applications potentiellement dangereuses Program.PWS.1. Les analystes de Doctor Web ont informé la société Google que les applications en question comportent une menace de divulgation d'informations confidentielles, mais au moment de la publication de cet article, les applications restaient disponibles en téléchargement.

Pour éviter une fuite de données, il est recommandé d’éviter d'utiliser des applications et services douteux destinés à contourner les restrictions d'accès. Sur le marché, il existe des solutions plus sécurisées qui offrent un niveau de protection adéquat. Parmi eux, les VPN commerciaux et gratuits (Virtual Private Network ou réseaux privés virtuels), ainsi que les serveurs proxy

Toutes les versions connues de Program.PWS.1 sont détectées par les produits antivirus Dr.Web pour Android.

En savoir plus sur Program.PWS.1