Dans la foulée de l’histoire d’hier sur près de 500 applications Android sur Google Play qui volaient des dizaines de millions de personnes de leur argent durement gagné, il y a – ou était – une autre application Android sur Google Play qui a essayé de nettoyer ses victimes ‘ comptes bancaires en ligne.
L’application a été découverte par la société française de sécurité mobile Pradeo et s’appelle 2FA Authenticator. Comme son nom l’indique, il se déguise en générateur de code d’authentification à deux facteurs (2FA) et est entièrement fonctionnel à cet égard, car le bit générateur de code de nombreuses applications d’authentification est librement disponible et gratuit.
Néanmoins, cette application ne fait rien pour améliorer votre sécurité. Au lieu de cela, lors de l’installation, il demande à l’utilisateur des autorisations qui ne sont pas indiquées dans son profil Google Play, y compris l’autorisation d’installer des « mises à jour » à partir d’Internet au lieu de recevoir des mises à jour via Google Play.
Vous atteindre et vous toucher avec des logiciels malveillants
Si vous lui accordez cette autorisation, 2FA Authenticator se connecte à Internet et infecte votre téléphone avec le cheval de Troie bancaire Vultur, un travail particulièrement désagréable sur lequel nous avons écrit pour la première fois en juillet dernier.
Vultur enregistre tout ce qui se passe sur votre écran pour capturer ce que vous tapez, comme les noms d’utilisateur et les adresses e-mail. Il comprend un enregistreur de frappe pour capturer ce qui n’est pas visible lorsque vous tapez, comme les mots de passe. Il enverra ces informations à ses contrôleurs, qui pourront ensuite utiliser vos informations de connexion pour pirater vos comptes bancaires en ligne.
2FA Authenticator était disponible dans l’App Store de Google Play depuis au moins 15 jours et avait été installé sur au moins 10 000 appareils avant d’être supprimé hier (27 janvier) après que Pradeo a informé Google de sa présence.
Il y a de fortes chances que 2FA Authenticator soit toujours disponible sur les magasins d’applications Android « hors route », alors soyez extrêmement prudent si vous obtenez des applications de cette façon – le nom de package Android unique de l’application est « com.privacy.account.safetyapp ».
Comment se débarrasser de l’authentificateur 2FA
Google peut atteindre et supprimer des applications malveillantes connues des téléphones des utilisateurs si les applications ont été installées à l’aide de Google Play, mais il le fait rarement. Si vous pensez que 2FA Authenticator ou une autre application malveillante connue est installée sur votre propre téléphone, vous devrez probablement vous en débarrasser manuellement.
Vérifiez Paramètres> Applications (ou Gestion des applications) pour voir si l’authentificateur 2FA ou une autre application suspecte est répertorié. Vous voudrez peut-être appuyer sur les trois points dans le coin supérieur droit de l’écran et sélectionner « Afficher le système » car parfois des applications malveillantes s’y cachent.
Si un authentificateur 2FA est répertorié, vous pouvez probablement continuer et le supprimer, même s’il peut s’agir d’une application différente, car de nombreuses applications Android utilisent des noms identiques ou similaires. Vous pouvez remplacer une application d’authentification plus connue, telle que Google Authenticator ou Authy, à la place.
En outre, vous devriez probablement installer l’une des meilleures applications antivirus Android sur votre téléphone. Ils font un meilleur travail que les outils intégrés de Google lorsqu’il s’agit d’attraper des applications malveillantes.
Comment vérifier si une application Android installée a été supprimée de Google Play
Cependant, pour vous assurer qu’une application que vous avez installée a été supprimée de Google Play, vous devrez rechercher son nom de package unique – quelque chose qui ressemble à « com.foo.app » ou, dans ce cas particulier, « com .privacy.account.safetyapp ».
Les noms des packages d’applications Android sont facilement visibles dans l’URL. ou l’adresse Web des pages de la boutique Google Play lorsque vous les consultez dans un navigateur Web. Par exemple, si l’URL est « https://play.google.com/store/apps/details?id=com.foo.app », le nom du package est « com.foo.app ».
Malheureusement, une fois l’application installée sur votre téléphone ou votre tablette, il n’est pas si facile de déterminer le nom du package d’une application Android.
Votre meilleur pari est d’ouvrir l’application Google Play, appuyez sur votre propre avatar Google dans le coin supérieur droit, puis sélectionnez « Gérer les applications et l’appareil ».
Sur l’écran suivant, appuyez sur l’onglet Gérer pour voir toutes vos applications installées. Appuyez sur les trois lignes inégales sur le côté droit de l’écran pour les trier par nom. Trouvez l’application qui vous intéresse et appuyez dessus.
Une page pour l’application elle-même s’ouvrira dans l’application Google Play, mais cela ne signifie pas nécessairement que l’application se trouve dans la boutique Google Play en ligne. Cela signifie simplement que l’application est installée sur votre appareil.
Appuyez sur les trois points empilés dans le coin supérieur droit et sélectionnez Partager. Un menu glissera répertoriant une URL partielle, qui correspond à la page de liste de l’application Google Play Store lorsque vous avez installé l’application. Appuyez sur l’icône de carrés imbriqués à côté pour copier l’URL.
Ouvrez ensuite un nouvel onglet dans un navigateur Web, collez l’URL dans la barre d’adresse et appuyez sur la flèche Aller en bas de l’écran. (Si vous voulez juste le nom du package, collez l’URL dans un fichier texte ou même dans un nouveau message électronique.)
Si votre navigateur renvoie une page de liste d’applications Google Play standard, l’application est toujours dans Google Play et son utilisation est probablement sûre.
Mais si vous obtenez une page presque vierge avec un message indiquant que « Nous sommes désolés, l’URL demandée est introuvable sur ce serveur », l’application a été supprimée de Google Play.
Vous devriez probablement envisager de désinstaller une application qui n’est plus dans Google Play, surtout si son nom de package correspond à celui d’une application malveillante connue telle que com.privacy.account.safetyapp.
Les exceptions concernent les applications dont vous savez qu’elles ont été supprimées de Google Play pour d’autres raisons, par exemple en raison d’un litige relatif aux droits d’auteur ou d’une violation des conditions d’utilisation de Google.