Posté le octobre 23, 2022 à 7:38
DES CHERCHEURS EN SÉCURITÉ DÉCOUVRENT LE LOGICIEL MALVEILLANT CLICKER DANS 16 APPLICATIONS ANDROID
Un rapport récent révèle que seize applications Android téléchargées plus de 20 millions de fois sont infectées par le nouveau logiciel malveillant Clicker. Selon le rapport, le logiciel malveillant est utilisé pour la fraude publicitaire mobile, car il est utilisé pour usurper l’identité de convertisseurs de codes QR, de convertisseurs de devises/unités, de prises de notes et d’applications de dictionnaires.
Une fois l’application malveillante installée et exécutée, elle entraîne la simulation de clics publicitaires par le logiciel malveillant à l’insu de la victime. De plus, le logiciel malveillant Clicker commence ses activités une heure après avoir été téléchargé afin de dissimuler ses véritables intentions et de rester sous le radar.
SangRyol Ryu, chercheur en cybersécurité chez McAfree, a commenté cette découverte : « Le logiciel malveillant Clicker vise à générer des revenus publicitaires illicites et peut perturber l’écosystème de la publicité mobile », a-t-il déclaré, ajoutant que les activités du logiciel malveillant passent totalement inaperçues.
Les applications clicker sont un type particulier de logiciels publicitaires qui chargent des publicités en arrière-plan ou dans des cadres invisibles et les font cliquer pour générer des revenus pour leurs opérateurs. L’impact sur l’appareil peut inclure une utilisation accrue de la batterie, une surchauffe, une réduction des performances, ainsi que des coûts de données mobiles gonflés.
DxClean a été téléchargée plus de 5 millions de fois
Le leader du peloton est DxClean, qui a été installée plus de 5 millions de fois avant d’être découvert et supprimé. Étonnamment, l’application a reçu une note positive de 4,1 sur 5 étoiles.
DxClean sert de nettoyeur et d’optimiseur de système. D’après la description de son service, il découvre les causes des arrêts du système et met fin aux nuisances publicitaires. Cependant, dans la réalité, il fait exactement le contraire de sa fonction supposée en arrière-plan.
Le logiciel malveillant imite le comportement des utilisateurs
Après son lancement, l’application télécharge sa configuration par le biais d’un emplacement distant lors de la requête HTTP. Elles enregistrent ensuite un auditeur Firebase Cloud Message (FCM) pour recevoir les messages push. Ceux-ci contiennent des instructions pour les clickers, notamment les paramètres à utiliser et les fonctions à appeler.
Lorsque certaines conditions sont remplies avec un message FCM, l’application Clicker commence à fonctionner sur l’appareil installé. Elle exécute de nombreuses fonctions, notamment la visite de sites et leur navigation en arrière-plan tout en imitant le comportement des utilisateurs. Le composant ‘com.liveposting’ gère les logiciels publicitaires cachés tandis que le composant ‘click.cas’ gère la fonction de clic automatique.