Plus de 300 applications Android malveillantes téléchargées sur 60 millions d’éléments à partir de Google Play ont agi comme des logiciels publicitaires ou ont tenté de voler des informations d’identification et des informations de carte de crédit.
L’opération a été découverte pour la première fois par IAS Threat Lab, qui a classé l’activité malveillante sous le nom de « Vapor » et a déclaré qu’elle était en cours depuis le début de 2024.
L’IAS a identifié 180 applications dans le cadre de la campagne Vapor, générant quotidiennement 200 millions de demandes d’enchères publicitaires frauduleuses pour se livrer à une fraude publicitaire à grande échelle.
Un rapport récemment publié par Bitdefender a augmenté le nombre d’applications malveillantes à 331, signalant de nombreuses infections au Brésil, aux États-Unis, au Mexique, en Turquie et en Corée du Sud.
« Les applications affichent des publicités hors contexte et tentent même de persuader les victimes de divulguer leurs informations d’identification et leurs informations de carte de crédit lors d’attaques de phishing », prévient Bitdefender.
Bien que toutes ces applications aient depuis été supprimées de Google Play, il existe un risque important que Vapor revienne via de nouvelles applications, car les acteurs de la menace ont déjà démontré leur capacité à contourner le processus d’examen de Google.
Applications Vapor sur Google Play
Les applications utilisées dans la campagne Vapor sont des utilitaires offrant des fonctionnalités spécialisées telles que le suivi de la santé et de la condition physique, des outils et des agendas de prise de notes, des optimiseurs de batterie et des scanners de codes QR.
Les applications passent les examens de sécurité de Google car elles incluent la fonctionnalité promue et ne contiennent pas de composants malveillants au moment de la soumission. Au lieu de cela, la fonctionnalité des logiciels malveillants est téléchargée après l’installation via des mises à jour fournies à partir d’un serveur de commande et de contrôle (C2).
Certains cas notables mis en évidence par Bitdefender et IAS sont:
- AquaTracker – 1 million de téléchargements
- ClickSave Downloader – 1 million de téléchargements
- Scan Hawk – 1 million de téléchargements
- Suivi du temps de l’eau – 1 million de téléchargements
- Soyez Plus – 1 million de téléchargements
- BeatWatch – 500 000 téléchargements
- TranslateScan – 100 000 téléchargements
- Localisateur de combiné – 50 000 téléchargements.
Ils sont téléchargés sur Google Play à partir de différents comptes de développeurs, chacun n’en poussant que quelques-uns vers le magasin, afin de ne pas risquer de fortes perturbations en cas de retraits. Pour des raisons similaires, chaque éditeur utilise un SDK ads différent.
La plupart des applications Vapor ont été publiées sur Google Play entre octobre 2024 et janvier 2025, bien que les téléchargements se soient poursuivis jusqu’en mars.
Fonctionnalité malveillante
Les applications Vapor malveillantes désactivent leur activité de lanceur dans le manifeste AndroidManifest.fichier xml après l’installation, les rendant invisibles. Dans certains cas, ils se renomment dans les paramètres pour apparaître comme des applications légitimes (par exemple, Google Voice).
Les applications se lancent sans interaction de l’utilisateur et utilisent du code natif pour activer un composant caché secondaire tout en gardant le lanceur désactivé pour garder l’icône cachée.
Bitdefender commente que cette méthode contourne les protections de sécurité Android 13 + qui empêchent les applications de désactiver dynamiquement leurs propres activités de lancement une fois qu’elles sont actives.
Le logiciel malveillant contourne également les restrictions d’autorisation « SYSTEM_ALERT_WINDOW » sur Android 13+ et crée un écran secondaire qui agit comme une superposition plein écran.
Les publicités sont affichées sur cet écran, qui est superposé au-dessus de toutes les autres applications, ne laissant à l’utilisateur aucun moyen de quitter car le bouton « Retour » est désactivé.
L’application se supprime également des « Tâches récentes », de sorte que l’utilisateur ne peut pas déterminer quelle application a lancé l’annonce qu’il vient de recevoir.
Bitdefender rapporte que certaines applications vont au-delà de la fraude publicitaire, affichant de faux écrans de connexion pour Facebook et YouTube pour voler des informations d’identification ou inviter les utilisateurs à saisir des informations de carte de crédit sous divers prétextes.
Il est généralement recommandé aux utilisateurs d’Android d’éviter d’installer des applications inutiles provenant d’éditeurs non réputés, d’examiner les autorisations accordées et de comparer le tiroir d’applications avec la liste des applications installées à partir de Paramètres → Applications → Voir toutes les applications.
La liste complète des 331 applications malveillantes téléchargées sur Google Play est disponible ici.
Si vous découvrez que vous avez installé l’une de ces applications, supprimez-les immédiatement et exécutez une analyse complète du système avec Google Play Protect (ou d’autres produits audiovisuels mobiles).
Breachtrace a contacté Google pour un commentaire sur la campagne Vapor, mais aucune déclaration n’était disponible au moment de la publication.