C’est une énorme découverte qu’ont faite les chercheurs de HUMAN Satori Threat Intelligence. Ce sont 224 applications Android piégées qui ont été repérées. Elles ont été téléchargées 38 millions de fois par les utilisateurs de 228 pays différents avant de disparaître de la boutique de Google.
S’il arrive que des malwares s’en prennent directement à vos comptes bancaires, il s’agit ici d’une opération de fraude publicitaire appelée SlopAds. Les pirates ont créé ces 224 applications qui se font passer pour des IA afin d’attirer l’attention des utilisateurs. Les escrocs sont très malins pour échapper à la détection de Google, puisqu’on parle d’un obscurcissement du code. Les outils de sécurité ont alors du mal à les analyser.
224 applications du Play Store cachent un logiciel malveillant
Lorsqu’elles sont installées, ces applications fonctionnent normalement, du moins en apparence. Les escrocs utilisent des modèles d’IA existants et hébergés sur leur propre serveur pour donner l’impression d’un fonctionnement normal. Les utilisateurs se retrouvent donc trompés. Les applications vérifient aussi si elles se trouvent sur le vrai smartphone d’un utilisateur et non sur celui d’un chercheur. Elles s’assurent également que l’installation vient d’une publicité de leur campagne, au lieu d’un téléchargement direct sur le Play Store. Aucune activité malveillante ne se déclenche sans ces conditions.
Lorsque la validation est faite, l’application télécharge un fichier de configuration chiffré qui contient le module publicitaire malveillant. Quatre images PNG d’apparence inoffensive cachent des fragments d’APK malveillants, tout comme les métadonnées. Il s’agit d’une technique de stéganographie qui dissimule des données dans d’autres fichiers.
Le logiciel malveillant FatModule s’installe ensuite sur le smartphone pour le transformer en générateur de trafic publicitaire. Les pirates mettent en place des sites qui génèrent des revenus. On parle quand même de 2 milliards d’impressions et de clics frauduleux quotidiens déjà comptabilisés. Google a rapidement supprimé ces 224 applications frauduleuses suite à l’alerte des chercheurs. La firme de Mountain View a aussi mis à jour Play Protect pour avertir les utilisateurs infectés qu’il faut les désinstaller immédiatement.
Les chercheurs de HUMAN Satori Threat Intelligence redoutent que cette campagne revienne en force sous une nouvelle forme. La sophistication de SlopAds montre que les créateurs développent déjà de nouvelles applications pour poursuivre leur activité.
Cette histoire nous rappelle que, de nouveau, le Play Store peut parfois cacher des malwares et autres arnaques et que, malgré les précautions de Google, mieux vaut faire attention à ce que vous téléchargez. Ne téléchargez que des applications de développeurs légitimes et qui ont l’air sûres en apparence. Pensez à jeter un œil aux notes. S’il y en a très peu, c’est généralement mauvais signe.
- HUMAN Satori Threat Intelligence révèle 224 applications Android déguisées en IA, téléchargées 38 millions de fois dans 228 pays, puis retirées du Play Store.
- Après vérifications, elles téléchargeaient une configuration chiffrée, cachaient des fragments d’APK dans des PNG via stéganographie et installaient FatModule pour générer jusqu’à 2 milliards d’impressions et de clics publicitaires frauduleux par jour.
- Google a mis à jour Play Protect pour alerter et pousser à la désinstallation, les chercheurs craignent un retour, téléchargez uniquement des apps de développeurs légitimes et vérifiez les notes.
Réagissez à cet article !