Google supprime 224 applications Android malveillantes à l'origine d'une campagne de fraude publicitaire à grande échelle

Selon un nouveau rapport de l'équipe de recherche et d'analyse en cybersécurité Satori Threat Intelligence de la société américaine de technologie de cybersécurité Human, une campagne de fraude publicitaire à grande échelle appelée « SlopAds » a été révélée.

Les chercheurs ont indiqué que plus de 224 applications malveillantes associées à la campagne ont été téléchargées plus de 38 millions de fois sur Google Play avant d'être détectées et supprimées. Ces applications ont non seulement dissimulé leur fraude sophistiquée grâce à des techniques d'obfuscation et d'injection de texte, mais ont également contourné de nombreux mécanismes de sécurité et autres outils de défense de Google.

SlopAds n'était pas un phénomène local, mais un phénomène mondial, touchant des utilisateurs dans 228 pays. Ce système frauduleux générait en moyenne 2,3 milliards de demandes d'enchères publicitaires par jour, causant de lourdes pertes sur le marché publicitaire en ligne. La plus forte concentration d'impressions publicitaires provenait des États-Unis (30 %), suivis de l'Inde (10 %) et du Brésil (7 %).

Les chercheurs affirment que ces applications malveillantes sont produites en masse et de mauvaise qualité, ressemblant à du « contenu indésirable généré par l'IA » - et le terme fait également référence au magasin d'applications et de services liés à l'IA trouvés sur les serveurs de contrôle du groupe cybercriminel à l'origine de la campagne.

Du légal au toxique en un clic

Les créateurs de la campagne SlopAds ont ingénieusement conçu un mécanisme permettant à l'application de passer d'une application « légitime » à un outil frauduleux dès son arrivée sur l'appareil de l'utilisateur. Pour contourner le processus d'évaluation de Google Play et la protection d'Android, ils utilisent une série d'astuces techniques pour dissimuler leur comportement malveillant jusqu'au dernier moment.

Lorsqu'un utilisateur installe l'application depuis le Play Store, le logiciel fonctionne initialement comme une application normale, sans aucun signe d'anomalie. Cependant, si l'utilisateur accède à l'application via un lien publicitaire diffusé par l'attaquant, l'installateur déclenche le script malveillant après avoir passé une série de vérifications.

L'application détectera si elle a été installée via le Play Store ou une autre source, et si la « condition » est remplie, elle télécharge un fichier de configuration crypté contenant le chemin vers le module de fraude, le serveur de retrait et un morceau de code JavaScript fourni par l'attaquant.

Ensuite, l'application télécharge quatre fichiers PNG apparemment inoffensifs, qui constituent une forme d'injection de données. Ces images PNG contiennent en réalité du code ou des parties chiffrées du fichier APK.

Sur l'appareil cible, l'image est décodée et réassemblée pour former le module malveillant. Une fois activé, le module utilise une vue Web cachée pour collecter des informations sur l'appareil, simuler l'accès d'un utilisateur réel et accéder au réseau du domaine contrôlé par l'attaquant.

Ces domaines se font passer pour des sites de jeux et d'actualités, affichant en permanence des WebViews cachées, un comportement qui génère des milliards de fausses impressions et de faux clics chaque jour, transformant le faux trafic en véritables revenus pour les escrocs.

Les techniques de camouflage sophistiquées et le déclenchement contextuel sont ce qui rend les SlopAds si difficiles à détecter et si dangereux pour l'écosystème de la publicité numérique.

Comment vous protéger des applications frauduleuses publicitaires

Bien que l'équipe Satori Threat Intelligence de Human n'ait pas encore publié de liste détaillée des 224 applications impliquées dans la campagne SlopAds, la bonne nouvelle est qu'elles ont toutes été supprimées de Google Play.

Les utilisateurs n'ont pas non plus à se soucier de vérifier eux-mêmes, car Google a mis à jour Play Protect, la couche de sécurité intégrée sur Android pour analyser, avertir et demander automatiquement la suppression s'il détecte des applications nuisibles sur les téléphones ou les tablettes.

Cela ne signifie pas pour autant que vous devez baisser la garde. Les logiciels publicitaires malveillants ne se contentent pas de voler des données ou de provoquer des fraudes à l'affichage, ils peuvent aussi avoir des conséquences imprévisibles.

Imaginez que votre téléphone télécharge silencieusement une série de sites web aléatoires tout au long de la journée, ce qui consomme des données mobiles, vide la batterie, fait chauffer l'appareil et réduit la durée de vie des composants. Souvent, les utilisateurs sont contraints de remplacer leur appareil plus tôt que prévu simplement parce qu'ils ont installé par erreur ces applications apparemment inoffensives.

Bien que SlopAds ne soit pas aussi dangereux que d'autres types de logiciels malveillants spécialisés dans le vol d'informations ou la prise de contrôle des appareils, il montre néanmoins que les utilisateurs qui téléchargent des applications externes ou d'origine inconnue sont confrontés à des risques beaucoup plus élevés que lorsqu'ils utilisent uniquement des applications officielles sur le Google Play Store.

Pour une protection supplémentaire, pensez à installer une application antivirus fiable pour Android en complément de Play Protect. Si vous souhaitez une protection plus complète contre les menaces telles que les pirates informatiques, les escrocs ou même les usurpateurs d'identité, les services de protection de l'identité numérique sont également intéressants.

Compte tenu des sommes colossales que la fraude publicitaire peut générer pour les cybercriminels, SlopAds n'est certainement pas le dernier exemple de ce type. Les experts en sécurité estiment que les auteurs pourraient bientôt refaire surface avec une campagne similaire, plus sophistiquée.

Et cela ne fait que renforcer un rappel familier mais jamais obsolète de faire attention à ce que vous téléchargez, car un mauvais clic peut coûter cher./.