Google supprime 41 applications Android qui généraient de faux clics publicitaires

On n'est tranquille nulle part 3
Accès libre
image dediée
Sécurité
Par
le mardi 30 mai 2017 à 11:30
Vincent Hermann

Des chercheurs ont mis la main sur ce qu’ils estiment être la plus vaste campagne d’adware jamais détectée sur Android. Nommée « Judy », elle se signale par des composants malveillants dans des applications et jeux tout à fait fonctionnels. Averti, Google a depuis fait le ménage, mais le cas rappelle que la prudence reste de mise, même sur le Play Store.

Sur Android, la récupération des applications via le Play Store est en général un bon moyen de ne pas être touché par des soucis de sécurité. La boutique officielle est en effet contrôlée par Google, qui communique d’ailleurs de manière plus active sur cette thématique depuis quelques mois. Durant la dernière conférence I/O, l’éditeur a même renommé l’ensemble de ses outils de détection pour les placer sous un nom plus global, Google Play Protect.

Pourtant, comme on l’a vu récemment, ces défenses ne sont pas absolues et des chercheurs ont montré qu’il était possible de publier du code malveillant qui utilise des permissions d’Android pour accomplir son méfait. Chez Check Point, d’autres chercheurs ont publié récemment un compte-rendu sur Judy, un malware que l’on trouvait encore il y a quelques jours dans une quarantaine d’applications « authentiques ».

L’épicentre en Corée du Sud

Selon Check Point, 41 applications éditées par ENISTUDIO Corp, une société sud-coréenne, embarquaient un malware nommé Judy. Il s’agit en fait d’un adware simulant de faux clics pour générer frauduleusement de l’argent. C’est le seul effet de Judy et les données des utilisateurs n’étaient elles-mêmes a priori pas en danger.

Les chercheurs notent un certain nombre de bizarreries liées à Judy. Par exemple, le fait que les 41 applications soient liées à une entreprise clairement identifiée, alors que les activités frauduleuses ont tendance à être masquées. ENISTUDIO n’est d’ailleurs selon eux qu’un sobriquet, le nom réel de l’entreprise étant Kiniwini.

En outre, Judy a été retrouvé dans quelques autres applications, sans lien avec cette société. Les chercheurs ne savent pas quels sont les liens entre les deux lots. Ils estiment que des développeurs ont pu reprendre du code des applications de Kiniwini, « en sachant ou pas » qu’il embarquait des éléments frauduleux.

android judy malware adware

La génération des faux clics

Le fonctionnement global de Judy est assez simple. L’application dans laquelle il se cache est toujours fonctionnelle. Dans la plupart des cas, il s’agit de jeux réels auxquels l’utilisateur peut s’adonner sans détecter quoi que ce soit.

En arrière-plan, c’est une autre histoire. Une fois installée, l’application enregistre discrètement l’appareil sur un serveur qui sert de structure C&C (Command and Control). Une fois la référence inscrite, le serveur envoie en retour le code malveillant lui-même, contenant notamment un code JavaScript chargé d’initialiser le processus.

Le malware va alors modifier l’user agent, afin de se faire passer pour un navigateur de machine de bureau. Il ouvre ensuite une ou plusieurs pages web et commence à générer des clics en chargeant des publicités. Ces dernières sont ciblées par du code JavaScript chargé de les repérer, en examinant le code de la page à la recherche d’éléments iframe liés à l’infrastructure Google Ads.

La campagne a probablement rencontré un grand succès

Tout indique en effet que quels que soient les auteurs réels d’une telle campagne, elle a sans doute eu des retombées financières intéressantes. Plusieurs éléments vont dans ce sens, à commencer par le nombre de téléchargements des applications.  Comme indiqué par Check Point, l’ensemble a cumulé un nombre d’installations compris entre 4 et 18 millions, montrant qu’elles étaient probablement assez utilisées (le nombre d’installations ne garantit pas l’utilisation prolongée).

En outre, certaines mises à jour remontent à avril 2016. De fait, la campagne durait donc depuis au moins un an avant d’être stoppée. Le nombre de téléchargements et la durée vont donc tous deux dans le sens d’une campagne à succès. L’ensemble a sans doute aussi profité de bonnes notes qui, si elles ne garantissent rien en l’état, aident à endormir la méfiance de l’utilisateur lambda. Dans la pratique, elles peuvent avoir été générées par des bots ou rédigées par des utilisateurs payés pour cela.

Le constant rappel pour une prudence élémentaire

Dans tous les cas, Google a été averti de ce danger et a procédé la semaine dernière à l’élimination de toutes les applications concernées. Cela étant, puisque l’on parle de téléchargements depuis la boutique officielle, le cas pose à nouveau la question de la confiance que l’on peut accorder au Play Store.

Tout est question de proportions. Le risque zéro n’existe pas, quelle que soit la boutique. Pour autant, le nombre de protections augmente avec le temps et Google semble dorénavant assez confiant pour évoquer une partie de son travail en arrière-plan. Ce qui ne doit pas faire oublier que ces techniques sont basées sur des algorithmes automatisés, qui peuvent donc passer à côté d’une technique particulière.

Un jeu du chat et de la souris qui, s’il n’est pas nouveau, change simplement de forme, bien que le gain financier soit toujours l’objectif. Pour Check Point, la conclusion est évidente : « Les utilisateurs ne peuvent pas s’appuyer sur les boutiques officielles d’applications pour leur sécurité ». L’éditeur recommande l’installation d’une solution complémentaire, mais puisqu’il produit notamment un antivirus mobile, le conseil était prévisible.


chargement
Chargement des commentaires...