Google Play a donné le démarrage à 16 applications avec plus de 20 millions d’installations combinées après que les chercheurs ont détecté une activité malveillante qui pourrait amener les appareils Android sur lesquels ils fonctionnent à vider les batteries plus rapidement et à utiliser plus de données que la normale.
Les applications fournissaient des fonctions légitimes, notamment une lampe de poche, un appareil photo, la lecture QR et des conversions de mesures, a déclaré mercredi la société de sécurité McAfee. Une fois ouvertes, cependant, les applications ont téléchargé subrepticement du code supplémentaire qui les a amenées à commettre une fraude publicitaire. Dès lors, les appareils infectés recevaient des messages via la plate-forme Firebase Cloud Messaging appartenant à Google qui leur demandait d’ouvrir des pages Web spécifiques en arrière-plan et de sélectionner des liens pour gonfler artificiellement le nombre de clics reçus par les annonces.
« Principalement, il s’agit de visiter des sites Web qui sont livrés par message FCM et de les parcourir successivement en arrière-plan tout en imitant le comportement de l’utilisateur », a écrit SangRyol Ryu de McAfee. « Cela peut entraîner un trafic réseau important et consommer de l’énergie sans que l’utilisateur ne s’en aperçoive pendant qu’il génère des bénéfices pour l’auteur de la menace à l’origine de ce malware. »
Le message comprenait la capture d’écran suivante illustrant un petit échantillon des demandes de réseau supplémentaires qu’un appareil a effectuées lors de la fraude.
Toutes les applications malveillantes sont fournies avec une bibliothèque de codes nommée com.liveposting, qui agit comme un agent et exécute des services de logiciels publicitaires cachés. D’autres applications sont également fournies avec une bibliothèque supplémentaire appelée com.click.cas, qui se concentre sur la fonctionnalité de clic automatisé. Pour dissimuler le comportement frauduleux, les applications ont attendu environ une heure après l’installation avant d’exécuter les bibliothèques.
La fraude publicitaire fonctionne par le biais de programmes d’affiliation, qui permettent à un tiers de recevoir une part des revenus publicitaires en échange de la fourniture de liens qui conduisent les utilisateurs finaux vers des publicités. Plutôt que d’amener véritablement de vrais utilisateurs sur le site, les fraudeurs simulent la référence à l’aide de bots ou d’autres méthodes automatisées pour imiter l’engagement réel des utilisateurs.
Les applications détectées par McAfee incluent :
| Nom du paquet | SHA256 | Nom | Téléchargé |
| com.hantor.CozyCamera | a84d51b9d7ae675c38e260b293498db071b1dfb08400b4f65ae51bcda94b253e | Caméra haute vitesse | 10 000 000+ |
| com.james.SmartTaskManager | 00c0164d787db2ad6ff4eeebbc0752fcd773e7bf016ea74886da3eeceaefcf76 | Gestionnaire de tâches intelligent | 5 000 000+ |
| kr.caramel.flash_plus | b675404c7e835febe7c6c703b238fb23d67e9bd0df1af0d6d2ff5ddf35923fb3 | Lampe de poche+ | 1 000 000+ |
| com.smh.memocalendar | 65794d45aa5c486029593a2d12580746582b47f0725f2f002f0f9c4fd1faf92c | bloc-notes calendrier | 1 000 000+ |
| com.joysoft.wordBook | 82723816760f762b18179f3c500c70f210bbad712b0a6dfbfba8d0d77753db8d | K-Dictionnaire | 1 000 000+ |
| com.kmshack.BusanBus | b252f742b8b7ba2fa7a7aa78206271747bcf046817a553e82bd999dc580beabb | BusanBus | 1 000 000+ |
| com.candlencom.candleprotest | a2447364d1338b73a6272ba8028e2524a8f54897ad5495521e4fab9c0fd4df6d | Lampe de poche+ | 500 000+ |
| com.movinapp.quicknote | a3f484c7aad0c49e50f52d24d3456298e01cd51595c693e0545a7c6c42e460a6 | Note rapide | 500 000+ |
| com.smartwho.SmartCurrencyConverter | a8a744c6aa9443bd5e00f81a504efad3b76841bbb33c40933c2d72423d5da19c | Convertisseur de devises | 500 000+ |
| com.joysoft.barcode | 809752e24aa08f74fce52368c05b082fe2198a291b4c765669b2266105a33c94 | Joycode | 100 000+ |
| com.joysoft.ezdica | 262ad45c077902d603d88d3f6a44fced9905df501e529adc8f57a1358b454040 | EzDica | 100 000+ |
| com.schedulezero.instapp | 1caf0f6ca01dd36ba44c9e53879238cb46ebb525cb91f7e6c34275c4490b86d7 | Téléchargeur de profil Instagram | 100 000+ |
| com.meek.tingboard | 78351c605cfd02e1e5066834755d5a57505ce69ca7d5a1995db5f7d5e47c9da1 | Notes Ez | 100 000+ |
| com.candlencom.flashlite | 4dd39479dd98124fd126d5abac9d0a751bd942b541b4df40cb70088c3f3d49f8 | lampe de poche | 1 000+ |
| com.doubleline.calcul | 309db11c2977988a1961f8a8dbfc892cf668d7a4c2b52d45d77862adbb1fd3eb | Une calculatrice | 100+ |
| com.dev.imagevault | bf1d8ce2deda2e598ee808ded71c3b804704ab6262ab8e2f2e20e6c89c1b3143 | Lampe de poche+ | 100+ |
Dans un communiqué, un porte-parole de Google a noté que toutes les applications signalées par McAfee avaient été supprimées. Le représentant a poursuivi en disant : « Les utilisateurs sont également protégés par Google Play Protect, qui bloque ces applications sur les appareils Android. » Le porte-parole n’a pas répondu à une question de suivi demandant comment les applications ont accumulé 20 millions d’installations si elles sont bloquées.
