Des fraudeurs diffusent un Trojan via de fausses versions mobiles du jeu Valorant

1
202

Des fraudeurs diffusent un Trojan dissimulé derrière de fausses versions mobiles de Valorant, le jeu tant attendu.

Tribune Doctor Web – Les chercheurs de Doctor Web ont découvert une campagne de fraude visant les mobiles. Les pirates publient des vidéos fallacieuses sur YouTube pour promouvoir une version mobile du nouveau jeu Valorant (le « vrai »  jeu est disponible en version bêta aujourd’hui et la date de lancement officielle est prévue le 2 juin) et invitant les internautes à l’installer sur leur mobile.

Le jeu Valorant est encore en développement et disponible uniquement en version bêta sur Windows. Sa sortie est très attendue par la communauté des gamers, et est prévue le 2 juin. « Surfant » sur cette attente, des pirates diffusent des vidéos sur une possible utilisation immédiate du jeu sur mobile… En réalité, le téléchargement du jeu sur mobile a pour vocation d’installer un Trojan, permettant aux cybercriminels d’obtenir diverses « récompenses » via des programmes d’affiliation.

Elles sont en effet accompagnées de descriptions détaillées et de nombreux commentaires d’utilisateurs qui ont soi-disant pu installer le jeu sur leur mobile. Tous ces commentaires sont bien entendu des faux.

Pour télécharger le jeu, les utilisateurs sont invités à visiter un site web dont le design est proche de celui du projet officiel de site du jeu Valorant. Il contient deux liens sensés mener vers le téléchargement du jeu. En cliquant sur ce lien via un appareil iOS, le site web redirige la requête vers un portail web de programme d’affiliation. Si la requête vient d’un appareil Android, le fichier APK contenant le malware Android.FakeApp.176 sera installé. Étant donné que ce fichier provient d’une ressource différente de Google Play, sur les appareils les plus modernes, une modification des paramètres du système de sécurité doit être effectuée pour l’installer.

Ce malware imite le processus de lancement du jeu mais demande ensuite une validation de l’appareil pour le “débloquer”. Pour cela, l’utilisateur se voit demander de télécharger et installer une app supplémentaire.

Si l’utilisateur accepte de “débloquer” le jeu, le malware, tout comme pour iOS, charge le même site web lié à un programme d’affiliation, dans le navigateur. Ce site web vérifie plusieurs paramètres et redirige l’utilisateur vers un autre site de programme d’affiliation. C’est ici que l’on propose à l’internaute d’effectuer plusieurs actions afin de gagner des récompenses. Dans notre exemple, on propose à l’internaute d’installer et lancer un jeu depuis Goole Play ainsi que de participer à un sondage en ligne.

Ces sites web sont typiquement représentatifs des « services » qui font gagner de l’argent en effectuant des clics via ces programmes d’affiliation, font augmenter de manière artificielle le nombre de visiteurs d’un site, monétisent des sites via des logiciels publicitaires et des schémas de pay-per-install (PPI) afin d’augmenter la popularité d’un logiciel (ou d’un site) et le nombre d’installations, et d’autres types de campagnes Internet.

En réalité, certains de ces services permettent de réelles rémunérations ou récompenses telles que de la monnaie utilisée dans un jeu ou d’autres bonus. Mais avec Android.FakeApp.176, rien de tout cela. La version mobile du jeu Valorant n’existe pas et le seul objectif de cette fausse appli est de charger un site web affilié pour aider les développeurs du malware à recevoir ces fameuses récompenses.

Ce type de fraude n’est pas nouveau. Par exemple, la même version du malware dont nous parlons ici, Android.FakeApp.176, a été diffusée sous couvert d’une version mobile du récent Call of Duty: Warzone game, qui est en fait uniquement disponible sur PC et consoles. En 2018, une version différente de ce malware était diffusée sous une fausse version de Fortnite et du jeu Apex Legends en 2019. Ces jeux populaires suscitent l’intérêt des cybercriminels car ils ont des millions de fans et autant de victimes potentielles.

Doctor Web recommande aux utilisateurs d’être prudents et de ne pas cliquer sur des liens qui semblent suspects ou de ne pas installer des applis douteuses provenant de sources inconnues. Dr.Web pour Android détecte et supprime toutes les modifications connues du malware Android.FakeApp.176.

Les commentaires sont fermés.