Des chercheurs de Human Security ont levé le voile sur une vaste opération de fraude publicitaire sur Android. L’opération, baptisée « Trapdoor » par les chercheurs, repose intégralement sur des pièges glissés dans des applications pour smartphone qui paraissent inoffensives. Ces applications frauduleuses et malveillantes sont parvenues à infiltrer le Play Store, la boutique officielle de Google.
À lire aussi : Le malware TrickMo est de retour sur Android, et il se cache sur la blockchain
455 applications Android piégées sur le Play Store
Les chercheurs du Satori Threat Intelligence and Research Team, la division de recherche sur les menaces d’Human, ont débusqué 455 applications Android piégées sur le Play Store. Ces applications ont été téléchargées plus de 24 millions de fois par des détenteurs d’un appareil Android. Dans la foulée de leurs investigations, les experts ont découvert 183 domaines frauduleux, indispensables au fonctionnement de la fraude.
Les applications vérolées se font passer pour des utilitaires tout à fait classiques, par exemple de simples lecteurs de PDF. Une fois installées, ces apps se comportent tout d’abord de façon normale, de manière à endormir la méfiance des cibles. Elles ne réclament pas de permissions exagérées pour fonctionner et n’ont pas de comportements suspects visibles. Il n’est donc pas possible de repérer la supercherie, dans un premier temps.
À lire aussi : Extorsion sur le Play Store – le virus SpyLend a été installé par plus de 100 000 smartphones Android
Fausse mise à jour et pages web invisibles
Après un certain laps de temps, l’application vérolée va se mettre à afficher une fenêtre surgissante sur l’écran tactile. Cette fenêtre intempestive va demander à l’utilisateur d’installer une mise à jour, censée améliorer les fonctionnalités de l’application. C’est cette fausse mise à jour qui va déclencher l’opération de fraude.
La mise à jour factice va en fait conduire à l’installation d’une seconde application sur le smartphone. Cette seconde app va rapidement afficher des pages web en s’appuyant sur WebView. Ce composant d’Android permet d’afficher des pages web à l’intérieur de l’application, sans passer par un navigateur. Ces pages web sont ouvertes en arrière-plan, de façon à rester invisibles pour l’utilisateur.
L’application se connecte alors à des sites web contrôlés par les fraudeurs, qui hébergent des jeux ou des pages truffées de publicités. La manœuvre donne l’impression que l’utilisateur s’est lui-même rendu sur ces pages, et est tombé sur des annonces publicitaires. De cette manière, les escrocs génèrent rapidement des revenus publicitaires. En parallèle, les annonceurs paient pour des publicités qui ne sont pas visibles par des internautes. C’est le nœud de la fraude publicitaire.
De gros bénéfices
Selon les chercheurs, la fraude a généré jusqu’à 480 millions de requêtes d’enchères publicitaires par jour, au moment de son pic d’activité. Ces enchères sont envoyées aux plateformes publicitaires à chaque fois qu’un emplacement pub est potentiellement disponible. Les cybercriminels ont ainsi généré des « revenus significatifs », indique le rapport d’Human. Pour mettre en avant leurs applications malveillantes, les cybercriminels ont massivement diffusé des publicités sur Internet. Les chercheurs parlent d’un cycle « auto-alimenté », dans lequel les gains issus de la fraude servent à financer de nouvelles campagnes publicitaires.
« Trapdoor démontre comment des fraudeurs déterminés transforment les installations d’applications courantes en un système d’autofinancement pour la publicité malveillante et la fraude publicitaire », explique Gavin Reid de chez Human Security.
Des applications supprimées par Google
Alerté par les chercheurs, Google n’a pas tardé à éjecter toutes les applications malveillantes de son Play Store. Le groupe américain précise que le Google Play Protect bloque désormais automatiquement les comportements associés à Trapdoor. Les applications publicitaires peuvent avoir des conséquences désastreuses sur la santé de votre téléphone. Elles peuvent réduire l’autonomie de la batterie ou encore plomber les performances. Les applications ouvrent aussi théoriquement la porte à d’autres abus, comme des vols de données.
Plus que jamais, on vous recommande de ne pas installer une application découverte par le biais d’une publicité, que ce soit sur Google, sur les réseaux sociaux ou ailleurs. Avant de passer à l’installation, prenez le temps de vous renseigner, et de lire les commentaires. Cantonnez-vous aux applications connues et réputées pour éviter les mauvaises surprises.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Human Security
