Les chercheurs de Bitdefender ont repéré une campagne de malwares qui sévissait sur les appareils Android depuis octobre dernier. Une campagne qui a réussi à passer sous le radar… Elle a été conçue pour afficher de manière agressive de la publicité sur les appareils Android afin de générer des revenus. Les acteurs de cette menace peuvent facilement changer de tactique pour rediriger les utilisateurs vers d’autres types de malwares, tels que des chevaux de Troie bancaires pour voler des identifiants et des informations financières ou des rançongiciels. À ce jour, Bitdefender a découvert 60.000 applications différentes intégrant l’adware, ce qui laisse penser que l’opération est probablement entièrement automatisée.
Un malware insaisissable
Cette distribution mondiale n’est pas passée par des magasins officiels. Les opérateurs du malware doivent convaincre les utilisateurs de télécharger et d’installer des applications tierces sous la forme d’APK. Pour ce faire, ils ont dissimulé leur menace en proposant des fonctions très demandées que l’on ne trouve pas dans le Play Store ou dans les autres magasins connus. Dans d’autres situations, les applications ont simplement imité les vraies apps publiées dans la boutique de Google.
Parmi les types d’applications imitées par le malware, on trouve des cracks de jeux, des jeux avec des fonctionnalités débloquées, des VPN gratuits, de fausses vidéos, Netflix, de faux tutoriels, YouTube/TikTok sans publicités, des utilitaires piratés comme des prévisions météo, des visionneuses PDF, ainsi que des apps de sécurité falsifiées.
Le malware se propage de manière organique, les apps infectées apparaissent lors de la recherche de ce type d’applications, mods, cracks, etc. Ces apps modifiées sont très populaires, des sites web sont entièrement dédiés à cette offre sous le manteau. Habituellement, ce sont des applications originales modifiées avec toutes leurs fonctionnalités débloquées ou présentant des changements dans leur code. Une fois l’app installée, lorsqu’un utilisateur ouvre un site web suite à une recherche Google, il est redirigé vers une page de publicité aléatoire. Parfois, le site est une page de téléchargement de malware déguisée en téléchargement légitime pour le mod recherché par l’utilisateur.
Une fois l’application installée, le malware se contente de montrer un message « application indisponible » pour tromper l’utilisateur en lui faisant croire que l’application n’a jamais été installée. Pour éviter ce genre de problème, la solution est de télécharger des apps depuis le Play Store et les boutiques légitimes, même si ces dernières ont leurs propres problèmes de sécurité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.