Check Point a découvert un logiciel malveillant camouflé au sein de plusieurs applications Android d’un éditeur peu scrupuleux sur le Google Play. Plusieurs millions d’utilisateurs auraient été infectés.
Baptisé Judy, ce logiciel malveillant découvert par Check Point a été longuement utilisé à des fins de fraude au clic publicitaire. Il contournait les protections intégrées à Google Play et à pu infecter des millions d’appareils Android. L’éditeur en question est le coréen Kiniwini, qui a vu l’ensemble de ses 41 applications retirées du Play Store par Google.
Pour les chercheurs en sécurité de la société israélienne Check Point, il s’agirait là de la plus importante affaire de fraude au clic découverte jusqu’à présent, portant sur l’infection de millions de terminaux, nombre estimé entre 4,5 et 18,5 millions de téléchargements (sans compter ceux ayant eu lieu hors de Google Play). En prenant en compte les mois (voir les années pour certaines) où les applications étaient disponibles et les sources multiples d’installation, les chercheurs tablent sur un total de 8,5 à 36,5 millions de victimes infectées.
Sur les 50 applications dans lesquelles la souche virale a été détectée, 41 proviennent de Kiniwini, qui, sur le Play Store, se présente sous la dénomination ENISTUDIO Corp.
Contournement habille des protections de Google
Pour passer outre les mécanismes de détections du Google Play, les applications utilisaient un procédé désormais bien connu des cybercriminels : l’utilisateur télécharge l’application, accepte les permissions notamment celle autorisant l’usage de la connexion Internet, l’installe et ensuite, cette dernière récupère en arrière plan la charge malveillante sur un serveur distant. Il ne reste plus qu’à l’activer…
Dans le cas présent, le malware est dédié à la fraude au clic publicitaire et a pour but de générer des milliers de dollars en faux clics et affichages sur des sites d’un réseau dédié. Ce dernier utilise du code JavaScript qui s’exécute et ouvre une page Web en tache d’arrière-plan qui se charge ensuite de naviguer sur divers sites Web (en générant des users-agents tout à fait crédibles), de détecter les iframes publicitaires présentes, et de cliquer de manière répétée sur ces publicités de la régie Google affichées via iframes sur les pages.
De plus, le malware n’hésitera pas à afficher les publicités directement sur l’écran de l’utilisateur, qui n’aura d’autre choix de cliquer dessus pour s’en débarrasser… jackpot.
Actuellement, l’ensemble des applications malveillantes incriminées ont été supprimées de Google Play.