Une nouvelle vague d’applications malveillantes vient de déferler sur le Play Store. Les chercheurs du Satori Threat Intelligence de HUMAN ont en effet débusqué un total de 224 applications Android frauduleuses sur la plateforme de Google. Les applications font partie d’une vaste campagne de fraude publicitaire, connue sous le nom de « SlopAds ». Elles ont été téléchargées plus de 38 millions de fois sur la boutique, par des internautes en provenance de 228 pays différents.
À lire aussi : Google annonce avoir été victime d’une nouvelle cyberattaque
Comment les applications ont échappé à la sécurité du Play Store ?
Pour pousser les utilisateurs à les installer, les applications se font passer pour des services d’IA. « Produites en série » par les pirates, les apps multiplient les tactiques pour échapper aux outils de détection de Google. Par exemple, le code des applications est massivement obscurci. En d’autres termes, les pirates transforment le code pour le rendre difficile à lire et à comprendre, ce qui bloque l’analyse par des antivirus ou des outils de sécurité. C’est une stratégie répandue, mais toujours efficace.
Une fois installées sur le smartphone de leurs cibles, les applications vont fonctionner comme prévu, en offrant l’essentiel des fonctionnalités prévues. Les pirates se sont servis d’outils officiels, mais hébergés par leurs soins sur des serveurs tiers. On trouve notamment plusieurs modèles d’IA, récupérés et déployés sur des serveurs pour donner le change.
Les escrocs vont même vérifier s’ils se trouvent bien sur le téléphone d’une victime, et non sur un système de test lancé par des chercheurs en sécurité. De même, elle va s’assurer que l’internaute a bien téléchargé l’app par le biais de l’une des publicités de la campagne. En effet, si vous téléchargez l’app en vous baladant simplement sur le Play Store, aucune fonctionnalité malveillante ne sera déployée. C’est, là encore, une précaution pour tenter de passer sous le radar.
Une fois que l’application a pu déterminer qu’elle se trouvait bien sur l’appareil d’un utilisateur légitime, elle va télécharger un fichier de configuration chiffré contenant le module publicitaire malveillant. Ensuite, elle va télécharger quatre fichiers image au format PNG en apparence inoffensive. Pourtant, dans les métadonnées de celle-ci, on trouve des fragments d’un APK malveillant. Cette tactique s’appuie sur la stéganographie, une technique qui permet de cacher des données à l’intérieur d’un autre fichier. De fil en aiguille, l’application installe le logiciel malveillant « FatModule » sur le smartphone.
Dans l’ombre, les apps vont transformer les téléphones infectés en machines à simuler du trafic publicitaire. Concrètement, elles vont se rendre, à l’insu de l’utilisateur, sur des sites web conçus par les pirates. Ces sites affichent en continu des publicités. Le smartphone clique dessus sans que l’utilisateur se rende compte de quoi que ce soit, tandis que les pirates gagnent des revenus publicitaires. Plus de deux milliards d’impressions et de clics frauduleux par jour ont été recensés.
À lire aussi : Pour protéger votre smartphone Android, Google revoit ses mises à jour de sécurité
La menace reste tapie dans l’ombre
Alerté par les chercheurs, Google a promptement supprimé toutes les applications frauduleuses de son Play Store. Le groupe a également mis à jour Play Protect dans le but de prévenir tous les utilisateurs infectés de désinstaller les applications de toute urgence.
Les chercheurs de Human redoutent que les pirates derrière « SlopAds » ne tardent pas à faire leur grand retour. Selon eux, la campagne est tellement sophistiquée qu’elle reviendra sous une forme ou une autre. Avant que Google n’agisse, les cybercriminels avaient d’ailleurs prévu de continuer de s’étendre, avec « de nouvelles applications sur le Play Store ».
Comme toujours, on vous conseille d’éviter d’installer une appli au hasard, même sur le Play Store. Avant de télécharger une app, vérifiez les avis, le nom du développeur et privilégiez les applications reconnues, populaires et bien notées. C’est le meilleur moyen d’éviter les mauvaises surprises
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Satori Threat Intelligence de HUMAN
