VivaVideo est l’une des applications de montage vidéo gratuites les plus populaires sur Android, avec plus de 100 millions d’installations sur le Play Store. Malheureusement, cette application a aussi un passé remplit de malwares : en 2017, elle a été mentionnée comme l’une des 40 applications suspectées d’être des logiciels espion dans un message gouvernemental adressé aux troupes militaires et paramilitaires indiennes, recommandant d’effacer ces applications immédiatement.

Cette application de montage vidéo requiert également un grand nombre de permissions dangereuses, parmi lesquelles la possibilité de lire et éditer les fichiers de vos disques externes, ainsi que de récolter la localisation GPS précise de l’utilisateur (ce qui n’est certainement pas nécessaire à une application de montage video).

VivaVideo est développé par QuVideo Inc (qui opère en tant que VivaVideo), une société chinoise basée à Hangzhou. Ce développeur d’applications a aussi créé SlidePlus (1 million d’installations), qui requiert les mêmes permissions dangereuses inutilement, ainsi qu’une version payante de VivaVideo. Et bien qu’il puisse sembler que QuVideo n’a que trois applications sur le Play Store, nous avons découvert un total de cinq applications appartenant à son réseau.

Sur l’App Store d’Apple, nous pouvons voir que QuVideo développe 4 applications : VivaVideo et SlidePlus, ainsi que VivaCut et Tempo. Ces deux dernières sont publiées sur le Play Store sous des noms de développeurs différents, cachant leur connexion avec QuVideo Inc.

Au-delà de ça, nous avons découvert que QuVideo possède aussi l’application indienne très populaire VidStatus, qui compte plus de 50 millions d’installations sur Play. VidStatus, qui est un outil de “statut video” pour WhatsApp, demande neuf permissions dangereuses, parmi lesquelles l’accès au GPS, la possibilité d’accéder à l’état du téléphone, à vos contacts, et même de voir la liste des appels de l’utilisateur. L’application a aussi été identifiée comme malware par Microsoft, contenant un cheval de Troie connu sous le nom de AndroidOS/AndroRAT. Ce type de trojan peut voler l’argent gardé en banque, sur PayPal ou en crypto monnaies.

QuVideo ne déclare pas officiellement posséder VidStatus, VivaCut ou Tempo sur le Play Store. Une autre application video sociale indienne liée à WhatsApp, du nom de ShareChat, a trois connexions suspectes à QuVideo : le fait d’avoir la même clé API dans le fichier application (APK), d’avoir des pages d’accueil et d’avoir des structures d’URL similaires.

À cause de cette historique de malwares et trojans actifs, et du fait que QuVideo cache ses connexions avec certaines de ses propres applications, nous recommandons que les utilisateurs fassent preuve de prudence avec n’importe laquelle de ces applications. De manière générale, si les utilisateurs des applications de QuVideo n’y trouvent pas de bénéfice particulier, nous recommandons de les effacer de leur téléphone aussi vite que possible.

Ce qu’il faut retenir

  • QuVideo Inc est une société chinoise qui opère également sous les noms de Xiaoping et Hangzhou Zhuying Technology Co. , Ltd. Les cinq applications du réseau QuVideo comptent au moins 157 millions d’installations
  • L’application VivaVideo de QuVideo a été identifiée comme logiciel espion par la communauté du renseignement indien en 2017
  • Une autre application du réseau QuVideo, VidStatus avec 50 millions d’installations, a été identifiée par Microsoft comme contenant un trojan à accès distant appelé Android/AndroRAT
  • VidStatus requiert neuf permissions dangereuses, parmi lesquelles l’accès au statut du téléphone, au GPS, à l’audio et la vidéo, et plus encore, tandis que l’application Tempo demande sans raison valable quatre permissions d’accès à la localisation de l’utilisateur
  • Deux applications requièrent les permissions BACKGROUND LOCATION et ACCESS LOCATION EXTRA COMMANDS, qui peuvent donner à l’application encore plus d’informations sur la localisation de l’utilisateur
  • Les applications demandent entre deux et neuf permissions dangereuses, avec une moyenne de cinq permissions dangereuses.

Applications de QuVideo – connues et inconnues

Sur le Play Store, VivaVideo liste le développeur de son application comme QuVideo Inc. Best Video Editor & Video Maker App. Sur Play il y a trois applications appartenant à ce développeur :

  • VivaVideo
  • VivaVideo PRO Video Editor HD
  • SlidePlus – Photo Slideshow Maker

Les applications de QuVideo

Prises toutes ensembles, ces applications comptent plus de 101,5 millions d’installations.

La version iOS de VivaVideo indique que son développeur est QuVideo Inc. Sur l’App Store, QuVideo Inc. possède quatre applications : deux de la liste ci-dessus (VivaVideo et SlidePlus) et deux nouvelles :

  • Tempo – Music Video Maker
  • VivaCut – Pro Video Editor

Applications QuVideo sur l'App Store

De plus, sur la version en anglais de son site web (vivavideo.tv), QuVideo liste simplement sa société sous le nom de “VivaVideo”. Cependant, sur la version chinoise de ses sites (que ce soit quvideo.com ou xiaoying.tv), elle se présente sous le nom de Hangzhou Zhuying Technology Co., Ltd.

Il y a deux choses intéressantes à savoir sur Hangzhou Technology Co., Ltd.

  1. C’est la société parente qui est derrière VidStatus – Status Video & Status Downloader, une application pour créeer des statuts WhatsApp très populaire en Inde, avec plus de 50 millions d’installations. La Politique de Confidentialité de VidStatus le confirme.
  2. Selon ce communiqué de presse, elle est listée comme “fournisseur de solutions pour véhicules commerciaux automatisés”. De plus, à un moment dans le passé, elle a modifié son nom en Fabu Technology Limited.

Avec toutes ces informations combinées, nous pouvons établir qu’il y a en fait six applications dans la famille QuVideo, et non pas trois comme le suggère les listes de Google Play Store :

  • VivaVideo
  • VivaVideo PRO Video Editor HD
  • SlidePlus – Photo Slideshow Maker
  • Tempo – Music Video Editor with Effects
  • VivaCut – Pro Video Editor APP
  • VidStatus – Status Videos & Status Downloader

Ces applications combinées comptent plus de 157 millions d’installations. Tandis que la page VivaVideo de Google Play montre qu’elle compte plus de 100 millions d’installations, sa page About Us indique qu’elle compte déjà plus de 380 millions d’utilisateurs autour du monde :

Utilisateurs VivaVideo

Il est important de préciser que le nombre d’installations est probablement supérieur à 437 millions, puisque l’App Store d’Apple ne fournit pas le nombre d’installations. Cependant, les données de SensorTower montrent 3 millions d’installations en avril pour toutes ses applications iOS (et un revenu de 2 millions de dollars pour le mois).

Revenus de QuVideo selon SensorTower

Il y a une autre application que nous jugeons nécessaire de mentionner.

QuVideo et ShareChat

ShareChat – Make Friends, WhatsApp Status & Videos est une application video très populaire en Inde et similaire en termes de fonctionnalités à VidStatus de QuVideo. Début mai 2020, ShareChat comptait au moins 100 millions d’installations sur Play seulement (et ne semble pas avoir une version iOS).

En analysant ShareChat et les applications de QuVideo, nous avons noté trois similarités suspectes.

Tout d’abord, les fichiers APK de diverses applications QuVideo ont une clé API visible pour la fonctionnalité Safe Browsing de Google. Les clés API sont censées être uniques pour chaque application, bien que dans le cas de certaines mauvaises pratiques elles soient utilisées sur plusieurs applications différentes émanant du même développeur. Voici un exemple pour VivaVideo :

ShareChat a la même clé API :

Clé API de ShareChat

Ensuite la page d’accueil de l’application VidStatus de QuVideo et la page d’accueil de ShareChat se ressemble étrangement :

Comapraison des pages d'accueil des sites de ShareChat et VidStatus

Enfin, VidStatus et ShareChat ont toutes les deux les mêmes structures d’URL pour naviguer vers la page de leur société, afin d’en savoir plus sur leur produit :

Comparaison des structures URL de VidStatus et ShareChat

Au-delà de ça, la branche indienne de QuVideo Inc. (basée à l’adresse listée sur le site de VisStatus) et Mohalla Tech sont basées à Bangalore en Inde. En fait, elles se trouvent à juste 15 minutes en voiture l’une de l’autre :

Distance entre les bureaux de ShareChat et QuVideo

Cependant, nous n’avons pas été en mesure de confirmer la connexion entre les créateurs de ShareChat – Mohalla Tech Private – et QuVideo Inc./Hangzhou Zhuying Technology Co., Ltd.

Nous avons tenté de contacter les équipes de Mohalla Tech Private et QuVideo Inc. pour obtenir leurs commentaires sur ces similarités troublantes, mais elles n’ont pas répondu à nos demandes. Nous mettrons cette section à jour si nous obtenons une réponse.

Une histoire de virus et autres dangers

Deux applications de QuVideo ont un historique rempli de virus et autres dangers.

Tout d’abord, leur application la plus populaire, VivaVideo, qui en 2017 a été identifiée par le gouvernement indien comme logiciel espion ou malveillant. L’information vient de plusieurs agences de renseignement indienne telles que l’Aile de Recherche et d’Analyse (Research And Analysis Wing) et l’organisation Nationale de Recherche Technologique (National Technical research Organisation). Elles ont recommandé que tous les membres des forces armées effacent immédiatement de leur téléphone cette application ainsi qu’une quarantaine d’autres, craignant une manoeuvre d’espionnage de la Chine.

Ensuite, pour notre analyse de l’application nous avons passé les fichiers APK sur le scanners de virus VirusTotal, qui est un service en ligne qui agrège de nombreux antivirus et moteurs de scan en ligne. Lorsque nous avons passé VidStatus sur VirusTotal, le résultat s’est avéré positif :

cheval de Troie de VidStatus

L’analyse de Microsoft a indiqué que l’application VidStatus contient le cheval de Troie Android/AndroRAT. Selon F-Secure, il s’agit d’un outil d’accès à distance qui est “intégré dans une application ‘porteuse’. Une fois que l’application est installée sur un appareil, le RAT intégré autorise une attaque à distance pour prendre elle contrôle de l’appareil.”

Nous avons demandé à VidStatus un commentaire sur ce problème de RAT, mais ils ne nous ont pas encore répondu. Nous mettrons à jour cette section s’ils venaient à répondre à nos demandes de clarification.

Les permissions dangereuses que ces applications demandent

Jetons un oeil aux permissions dangereuses que ces applications requièrent :
NEW:

Permissions dangereusesNombre demandéDescription des permissions
READ_EXTERNAL_STORAGE5Cela permet à l’application de parcourir vos fichiers sauvegardés, journeaux systèmes, fichiers d’autres applications etc.
WRITE_EXTERNAL_STORAGE5Cela permet à l’application d’installer des fichiers sur l’appareil de l’utilisateur
ACCESS_COARSE_LOCATION3Cette permission autorise l’application à récolter la localisation générale de l’utilisateur via wifi et/ou réseau cellulaire
ACCESS_FINE_LOCATION3Pose un grand risque de confidentialité, la plupart des applications semblent ne pas en avoir besoin. Cette permission autorise l’applicaiton à utiliser le GPS, les données cellulaires et/ou le wifi afin d’obtenir la localisation précise de l’utilisateur
CAMERA3Cela donne à l’application la permission d’accéder à l’appareil photo de l’appareil
READ_PHONE_STATE2Cette permission autorise l’applicaiton à récolter des informations au sujet du téléphone de l’utilisateur : numéro de téléphone, information du réseau cellulaire, compte enregistrés sur le téléphone, statut des appels entrants
RECORD_AUDIO2Cela permet à l’application d’enregistrer et de stocker des fichiers audio sur l’appareil ou sur les serveurs de l’application
ACCESS_BACKGROUND_LOCATION1Cela permet à l’application  d’avoir un accès constant à votre localisation, même lorsaue l’application n’est pas utilisée
READ_CALL_LOG1Cela permet à l’application de lire l’historique d’appels de l’utilisateur
READ_CONTACTS1Cela permet à l’application d’accéder aux contacts sauvegardés sur le téléphone

OLDER:

Permissions dangereuses
Nombre demandéDescription des permissions
READ_EXTERNAL_STORAGE5Cela permet à l’application de parcourir vos fichiers sauvegardés, journeaux systèmes, fichiers d’autres applications etc.
WRITE_EXTERNAL_STORAGE5Cela permet à l’application d’installer des fichiers sur l’appareil de l’utilisateur
ACCESS_COARSE_LOCATION3Cette permission autorise l’application à récolter la localisation générale de l’utilisateur via wifi et/ou réseau cellulaire
ACCESS_FINE_LOCATION3Pose un grand risque de confidentialité, la plupart des applications semblent ne pas en avoir besoin. Cette permission autorise l’applicaiton à utiliser le GPS, les données cellulaires et/ou le wifi afin d’obtenir la localisation précise de l’utilisateur
CAMERA3Cela donne à l’application la permission d’accéder à l’appareil photo de l’appareil
READ_PHONE_STATE2Cette permission autorise l’applicaiton à récolter des informations au sujet du téléphone de l’utilisateur : numéro de téléphone, information du réseau cellulaire, compte enregistrés sur le téléphone, statut des appels entrants
RECORD_AUDIO2Cela permet à l’application d’enregistrer et de stocker des fichiers audio sur l’appareil ou sur les serveurs de l’application
ACCESS_BACKGROUND_LOCATION1Cela permet à l’application  d’avoir un accès constant à votre localisation, même lorsaue l’application n’est pas utilisée
READ_CALL_LOG1Cela permet à l’application de lire l’historique d’appels de l’utilisateur
READ_CONTACTS1Cela permet à l’application d’accéder aux contacts sauvegardés sur le téléphone

Comme vous pouvez le voir, ces cinq applications que nous avons analysées (nous n’avons pas étudié la version Premium de VivaVideo) demandent de pouvoir accéder et éditer les fichiers présents sur la carte SD externe. Cela veut dire que ces applications seront en mesure de voir tous les fichiers que vous y entreposez, ainsi que d’y installer ses propres fichiers ou effectuer des modifications sur les fichiers que vous y avez sauvegardés.

De plus, il est intéressant de noter que bien que toutes ces applications soient en lien avec la capture ou le montage vidéo, seules trois des cinq applications demandent accès à votre caméra, et seulement deux demandent l’accès au système audio.

Enfin, ces applications demandent – sans que cela ne semble être nécessaire – l’accès à la localisation précise de l’utilisateur. Plus encore, une application – Tempo, pour le montage musical – souhaite accéder aux données de localisation en arrière-plan de l’utilisateur. Cette permission dangereuse autorise une application à accéder constamment à la localisation d’un utilisateur, même quand il n’utilise pas l’application.

Cette application, Tempo, demande aussi la permission d’accéder à d’autres commandes de localisation (android.permission.ACCESS_LOCATION_EXTRA_COMMANDS), qui autorise des demandes de localisation additionnelles. Bien que techniques, ces permissions, d’après le blog Android Permissions, peuvent être utiliser de manière malveillante “afin d’interférer avec l’opération du GPS ou d’autres sources de localisation.”

Les trois applications les plus risquées de QuVideo

Parmi toutes ces applications, il y en a trois qui présentent un risque particulier à cause du type de permissions qu’elles demandent.

NEW:

Nom de l’applicationNombre de permissions dangereusesPermissions demandées
VidStatus – Status Videos & Status Downloader

 

Installations Google Play:
50 millions

Développeur listé :
VidStatus Team

Historique de malware:
Cheval de Troie: Android/AndroRat outil d’accès à distance identifié par Microsoft

9
  • Access coarse location
  • Access fine location
  • Camera
  • Read call log
  • Record audio
  • Read contacts
  • Read external storage
  • Write external storage
  • Read phone state
VivaVideo: Video Editor & Video Maker

 

Installations Google Play:
380 millions (selon le développeur)

Développeur listé:
QuVideo Inc. Best Video Editor & Video Maker App

Historique de malware:
Identifié comme logiciel espion par les agences du renseignement indien

6
  • Access coarse location
  • Access fine location
  • Camera
  • Record audio
  • Read external storage
  • Write external storage
Tempo – Music Video Editor with Effects

 

Installations Google Play:
500000

Développeir listé:
Tempo trend video editor with effects & music. Ltd

Historique de malware:
Aucun

5
  • Access coarse location
  • Access fine location
  • Access background location
  • Read external storage
  • Write external storage
  • Access location extra commands

OLDER:

Nom de l’application
Nombre de permissions dangereuses
Permissions demandées
VidStatus – Status Videos & Status Downloader

Installations Google Play :  50 millions

Développeur listé : VidStatus Team

Historique de malware : Cheval de Troie :Android/AndroRat outil d’accès à distance identifié par Microsoft

9READ_PHONE_STATE
WRITE_EXTERNAL_STORAGE
READ_CONTACTS
ACCESS_FINE_LOCATION
ACCESS_COARSE_LOCATION
READ_CALL_LOG
READ_EXTERNAL_STORAGE
CAMERA
RECORD_AUDIO
VivaVideo: Video Editor & Video Maker

Installations Google Play : 380 millions (selon le développeur)

Développeur listé : QuVideo Inc. Best Video Editor & Video Maker App

Historique de malware : Identifié comme logiciel espion par les agences du renseignement indien

6android.permission.ACCESS_COARSE_LOCATION
ACCESS_FINE_LOCATION
CAMERA
RECORD_AUDIO
WRITE_EXTERNAL_STORAGE
READ_EXTERNAL_STORAGE
Tempo – Music Video Editor with Effects

Installations Google Play : 500000Développeir listé : Tempo trend video editor with effects & music. Ltd

Historique de malware : Aucun

5WRITE_EXTERNAL_STORAGE
READ_EXTERNAL_STORAGE
ACCESS_COARSE_LOCATION
ACCESS_FINE_LOCATION
ACCESS_BACKGROUND_LOCATION
ACCESS_LOCATION_EXTRA_COMMANDS

La première est VidStatus, qui demande au total neuf permissions. Elles incluent la lecture et la modification des disques externes, ainsi que la possibilité d’accéder aux contacts de l’utilisateur, à leur historique d’appels, à leur caméra, activer ou désactiver leur microphone, accéder au statut du téléphone, et obtenir les coordonnées GPS. Cette application, est l’une de celles qui a été désignée par Microsoft comme contenant un cheval de Troie à accès distant.

La seconde application la plus risquée de QuVideo est son application phare, VivaVideo, qui compte au moins 380 millions d’installations. Bien qu’elle demande moins de permissions dangereuses, elles restent risquées, puisque certaines d’entre elles – comme les permissions de localisation – sont absolument inutiles. De plus, il est important de se rappeler que cette application a été identifiée par le renseignement indien comme logiciel espion.

Enfin, il y a Tempo, dont j’ai parlé ci-dessus, et qui demande au total quatre permissions liées à la localisation de l’utilisateur (trois d’entre elles semblant dangereuses) en plus des demandes d’accès aux fichiers sauvegardés ; il est aussi important de noter que les politiques de Google Play restreignent l’utilisation de permissions de localisation en arrière-plan aux “applications qui en ont besoin pour leurs fonctionnalités essentielles” – et une application de montage vidéo ne rempli pas ce critère.

Les risques que posent les permissions dangereuses

Lorsqu’on s penche sur ces applications et les permissions dangereuses qu’elles requièrent en général, il est important de comprendre les risques encourus et quel est le but de QuVideo.

Des données à revendre

La raison la plus évidente, et la plus probable, qu’a un développeur d’applications gratuites de demander autant de permissions dangereuses inutiles est de revendre vos données.

L’un des types de données les plus lucratifs est vos données de localisation. Utiliser des permissions comme celles que Tempo requiert – quatre permissions de localisation différentes – peut permettre aux applications d’envoyer vos données de localisation jusqu’à 14000 fois par jour, même lorsque vous n’utilisez pas l’application. Ces données peuvent rapporter à un développeur une belle somme, certaines agences payant 4$ par mois pour 1000 utilisateurs actifs.

En utilisant ce montant, et en estimant que seulement 5% des installations totales de QuVideo représentent des utilisateurs mensuels actifs (UMA), cela revient à 90000$ par mois.

157 millions x 5% Installations x 4$/1000 UMA = 31400$ par mois

Ce revenu peut s’ajouter aux 2 millions de dollars mensuels estimés par SensorTower que QuVideo se fait avec son application iOS.

Autres utilisations illégales

Il est toujours possible qu’il y ait plus de choses louches sous la table. Parmi les cinq applications confirmées dans le réseau QuVideo, deux ont un historique de virus bien connu : l’un est un logiciel espion, et l’autre un cheval de Troie d’accès distant.

Il est utile de noter que d’autres développeurs d’applications peu éthiques ont utilisé des permissions dangereuses pour lancer des ransomwares contre leurs propre utilisateurs, ou revendu des données personnelles au marché noir.

Conclusion

De maniére générale, il est important que les utilisateurs soient conscients de certaines choses lorsqu’ils se penchent sur les applications du réseau QuVideo :

  1. Elles ont un profil de logiciels espions et trojans actifs
  2. Elle requièrent une grande quantité de permissions dangereuses qui ne sont pas nécessaires
  3. Elles sont pour la plupart opérées depuis la Chine, qui n’est pas un pays qui respecte le droit à la vie privée

Nous avons déjà développé ces deux premiers points en détails, mais je souhaite prendre un moment pour examiner le troisième : la Chine.

Bien que la plupart des applications de QuVideo sont transparentes au sujet de leur localisation en Chine, nous avons découvert que VidStatus indique être basé en Inde, et que VivaCut utilise une adresse à Hong Kong sur leurs pages Google Play respectives. Et si cela est vrai jusqu’à un certain point, cela ne reflète pas leurs connexion avec la Chine de manière transparente.

Les applications chinoises ne sont pas forcément mauvaise sou dangereuses. Cependant, le gouvernement chinois a prouvé, à plusieurs reprises, ne pas faire grand cas du respect de la vie privée des utilisateurs. Prenons pour exemple le Grand Firewall chinois, son nouveau système de crédit social, et bien entendu ses lois stricte sur la rétention des données, qui oblige non seulement les serveurs qui transfèrent les données des utilisateurs à être basés en Chine, mais aussi que ces serveurs fournissent un accès sans limites aux autorités chinoises.

Il y a donc un grand risque que les données de tout utilisateur reçues par une société chinoise seront accessibles aux autorités chinoises. Et c’est un risque qui doit être pris en charge. C’est pour cette raison que le Sénateur américain de l’Indiana Jim Banks a proposé une loi qui forcerait les stores de Google ou Apple à afficher un avertissement sur les applications venant de pays comme la Chine qui posent des risques de sécurité aux américains.

Précisons enfin qu’il y a des moyens de réduire ces risques, par exemple en n’accordant pas les permissions dangereuses que ces applications requièrent. Cependant, certaines permissions comme celles de localisation en arrière-plan ne sont pas accordées par l’utilisateur, et donc ne peuvent pas non plus être révoquées par l’utilisateur.

Et si les utilisateurs ne sont pas à l’aise avec les décisions à prendre quant aux permissions, ils leur reste toujours la possibilité d’effacer l’application complètement.

Avertissement :
Nous enquêtons méticuleusement pour nos recherches et nous efforçons d’offrir une représentation précise à nos lecteurs. Mais nous sommes humains après tout, et si vous pensez que nous avons fait une erreur factuelle (il ne s’agit pas de désaccord avec nos opinions ici), contactez-nous de sorte que nous puissions enquêter et soit corriger soit confirmer les faits. Vous pouvez nous contacter en utilisant le formulaire de contact sur cette page.