Google supprime 224 applications Android malveillantes à l'origine d'une vaste campagne de fraude publicitaire.

Selon un nouveau rapport de l'équipe de recherche et d'analyse en cybersécurité Satori Threat Intelligence de la société américaine de technologies de cybersécurité Human, une campagne de fraude publicitaire à grande échelle appelée « SlopAds » a été mise au jour.

Les chercheurs ont indiqué que plus de 224 applications malveillantes liées à cette campagne avaient été téléchargées plus de 38 millions de fois sur Google Play avant d'être détectées et supprimées. Ces applications dissimulaient leurs fraudes sophistiquées grâce à des techniques d'obfuscation et d'injection de texte, et contournaient de nombreux mécanismes de sécurité et autres outils de défense de Google.

SlopAds n'était pas un phénomène local, mais un système déployé à l'échelle mondiale, touchant des utilisateurs dans 228 pays. Ce système frauduleux générait en moyenne 2,3 milliards de demandes d'enchères publicitaires par jour, entraînant des pertes considérables sur le marché de la publicité en ligne. La plus forte concentration d'impressions publicitaires provenait des États-Unis (30 %), suivis de l'Inde (10 %) et du Brésil (7 %).

Les chercheurs affirment que ces applications malveillantes sont produites en masse et de faible qualité, ressemblant à des « déchets d'IA » - du contenu indésirable généré par l'IA - et le terme désigne également le magasin d'applications et de services liés à l'IA trouvé sur les serveurs de contrôle du groupe cybercriminel à l'origine de la campagne.

Du légal au toxique en un clic

Les créateurs de la campagne SlopAds ont astucieusement conçu un mécanisme permettant à l'application de se transformer d'application « légitime » en outil de triche dès son installation sur l'appareil de l'utilisateur. Afin de contourner le processus de vérification de Google Play et la protection d'Android, ils utilisent diverses techniques pour dissimuler leurs agissements malveillants jusqu'au dernier moment.

Lorsqu'un utilisateur installe l'application depuis le Play Store, le logiciel fonctionne initialement comme une application normale, sans aucun signe d'anomalie. Cependant, si l'utilisateur accède à l'application via un lien publicitaire diffusé par l'attaquant, le programme d'installation déclenchera le script malveillant après avoir passé une série de vérifications.

L'application détectera si elle a été installée via le Play Store ou une autre source, et si la « condition » est remplie, elle téléchargera un fichier de configuration chiffré contenant le chemin d'accès au module de fraude, au serveur de retrait et à un extrait de code JavaScript fourni par l'attaquant.

Ensuite, l'application télécharge quatre fichiers image PNG apparemment inoffensifs, qui constituent en réalité une forme d'injection de données. Ces images PNG contiennent en fait du code ou des parties cryptées du fichier APK.

Sur l'appareil cible, l'image est décodée et réassemblée pour former le module malveillant. Une fois activé, ce module utilise une WebView cachée pour collecter des informations sur l'appareil, simuler un accès utilisateur réel et se connecter au réseau du domaine contrôlé par l'attaquant.

Ces domaines usurpent l'identité de sites de jeux et d'actualités, affichant en permanence des WebViews cachées, un comportement qui génère chaque jour des milliards de fausses impressions et de faux clics, transformant ainsi du trafic factice en revenus réels pour les escrocs.

Les techniques de dissimulation sophistiquées et le déclenchement contextuel sont ce qui rend les publicités SlopAds si difficiles à détecter et si dangereuses pour l'écosystème de la publicité numérique.

Comment se protéger des applications de fraude publicitaire

Bien que l'équipe Satori Threat Intelligence de Human n'ait pas encore publié de liste détaillée des 224 applications impliquées dans la campagne SlopAds, la bonne nouvelle est qu'elles ont toutes été retirées de Google Play.

Les utilisateurs n'ont pas non plus à se soucier outre mesure de vérifier par eux-mêmes, car Google a mis à jour Play Protect, la couche de sécurité intégrée à Android, pour analyser automatiquement, avertir et demander la suppression des applications malveillantes détectées sur les téléphones ou les tablettes.

Cependant, cela ne signifie pas que vous pouvez baisser votre garde. Les logiciels publicitaires malveillants ne se contentent pas de voler des données ou de provoquer des fraudes à l'affichage ; ils peuvent également entraîner des conséquences imprévisibles.

Imaginez votre téléphone téléchargeant silencieusement une série de sites web aléatoires toute la journée, ce qui consomme des données mobiles, vide la batterie, fait chauffer l'appareil et réduit la durée de vie de ses composants. Bien souvent, les utilisateurs sont contraints de remplacer leur appareil plus tôt que prévu simplement parce qu'ils ont installé par erreur ces applications apparemment inoffensives.

Bien que SlopAds ne soit pas aussi dangereux que d'autres types de logiciels malveillants spécialisés dans le vol d'informations ou la prise de contrôle d'appareils, il démontre néanmoins que les utilisateurs qui téléchargent des applications externes ou d'origine inconnue courent des risques beaucoup plus élevés que lorsqu'ils utilisent uniquement des applications officielles du Google Play Store.

Pour une protection renforcée, envisagez d'installer une application antivirus réputée pour Android en complément de Play Protect. Si vous souhaitez une protection plus complète contre les menaces telles que les pirates informatiques, les escrocs ou même les usurpateurs d'identité, les services de protection de l'identité numérique sont également à considérer.

Compte tenu des sommes considérables que la fraude publicitaire peut générer pour les cybercriminels, SlopAds n'est certainement pas un cas isolé. Les experts en sécurité estiment que les auteurs pourraient bientôt réapparaître avec une campagne similaire, mais plus sophistiquée.

Et cela ne fait que renforcer un rappel familier mais toujours d'actualité : faites attention à ce que vous téléchargez, car un seul clic malheureux peut coûter cher.