Plus de 60 000 applications Android déguisées en applications légitimes ont discrètement installé des logiciels publicitaires sur des appareils mobiles tout en restant non détectées au cours des six derniers mois.
La découverte provient de la société roumaine de cybersécurité Bitdefender qui a détecté les applications malveillantes à l’aide d’une fonction de détection d’anomalies ajoutée à son logiciel Bitdefender Mobile Security le mois dernier.
« À ce jour, Bitdefender a découvert 60 000 échantillons complètement différents (applications uniques) contenant le logiciel publicitaire et nous soupçonnons qu’il y en a beaucoup plus dans la nature », a averti la société roumaine de cybersécurité Bitdefender.
On pense que la campagne a commencé en octobre 2022 et est distribuée sous forme de faux logiciels de sécurité, de cracks de jeux, de tricheurs, de logiciels VPN, de Netflix et d’applications utilitaires sur des sites tiers.
La campagne de logiciels malveillants cible principalement les utilisateurs aux États-Unis, suivis de la Corée du Sud, du Brésil, de l’Allemagne, du Royaume-Uni et de la France.
Installé furtivement pour échapper à la détection
Les applications malveillantes ne sont pas hébergées sur Google Play mais sur des sites Web tiers dans la recherche Google qui poussent les APK, des packages Android qui vous permettent d’installer manuellement des applications mobiles.
Lors de la visite des sites, vous serez soit redirigé vers des sites Web affichant des publicités, soit invité à télécharger l’application recherchée. Les sites de téléchargement sont créés à dessein pour distribuer les applications Android malveillantes sous forme d’APK qui, une fois installés, infectent les appareils Android avec des logiciels publicitaires.
Lorsque l’application est installée, elle ne se configure pas pour s’exécuter automatiquement, car cela nécessite des privilèges supplémentaires. Au lieu de cela, il s’appuie sur le flux d’installation normal de l’application Android, qui invite les utilisateurs à « ouvrir » une application après son installation.
De plus, les applications n’utilisent pas d’icône et ont un caractère UTF-8 dans l’étiquette de l’application, ce qui la rend plus difficile à repérer. Il s’agit d’une épée à double tranchant, car cela signifie également que si un utilisateur ne démarre pas l’application après son installation, elle ne sera probablement pas lancée après.
Si elle est lancée, l’application affichera un message d’erreur indiquant que « l’application n’est pas disponible dans votre région. Appuyez sur OK pour désinstaller ».
Cependant, en réalité, l’application n’est pas désinstallée mais dort simplement pendant deux heures avant d’enregistrer deux « intentions » qui provoquent le lancement de l’application lorsque l’appareil est démarré ou lorsque l’appareil est déverrouillé. Bitdefender indique que cette dernière intention est désactivée pendant les deux premiers jours, susceptible d’échapper à la détection par l’utilisateur.
Une fois lancée, l’application atteindra les serveurs des attaquants et récupérera les URL des publicités à afficher dans le navigateur mobile ou en tant que publicité WebView en plein écran.
Alors que les applications malveillantes ne sont actuellement utilisées que pour afficher des publicités, les chercheurs avertissent que les acteurs de la menace pourraient facilement échanger les URL des logiciels publicitaires contre des sites Web plus malveillants.
« Après analyse, la campagne est conçue pour pousser de manière agressive les logiciels publicitaires sur les appareils Android dans le but de générer des revenus », prévient Bitdefender.
« Cependant, les acteurs de la menace impliqués peuvent facilement changer de tactique pour rediriger les utilisateurs vers d’autres types de logiciels malveillants, tels que les chevaux de Troie bancaires pour voler des informations d’identification et des informations financières ou des rançongiciels. »
Les appareils Android sont très ciblés par les développeurs de logiciels malveillants car ils sont capables d’installer des applications en dehors du Google Play Store, où ils ne sont pas mieux inspectés pour détecter les logiciels malveillants.
Cependant, les acteurs de la menace continuent d’échapper à la détection, même sur Google Play, permettant une large diffusion d’applications malveillantes.
La semaine dernière, des chercheurs de Dr. Web et CloudSEK ont découvert un SDK de logiciel espion malveillant installé plus de 400 millions de fois sur des appareils Android à partir d’applications sur Google Play.
Alors que Google Play a toujours sa part d’applications malveillantes, l’installation de vos applications Android à partir de la boutique Android officielle est beaucoup plus sûre. Il est également fortement déconseillé d’installer des applications Android à partir de sites tiers, car elles sont un vecteur commun de logiciels malveillants.