Posté le juin 7, 2023 à 5:18
PLUS DE 60 000 APPLICATIONS ANDROID CONTIENNENT DES LOGICIELS PUBLICITAIRES QUI N’ONT PAS ÉTÉ DÉTECTÉS PENDANT SIX MOIS
Plus de 60 000 applications Android déguisées en applications légitimes ont été installées sur des appareils mobiles sous forme de logiciels publicitaires. Ces applications ont fonctionné sans être détectées au cours des six derniers mois, et leur découverte vient s’ajouter à la longue liste des failles de sécurité du système Android.
Plus de 60 000 applications Android installent secrètement des logiciels publicitaires
La découverte de logiciels malveillants dans ces applications a été révélée par une société de cybersécurité Roumaine connue sous le nom de Bitdefender. L’entreprise de cybersécurité a détecté le mois dernier des applications malveillantes qui utilisent une fonction de détection des anomalies intégrée au logiciel Bitdefender Mobile Security.
Bitdefender a publié une déclaration à ce sujet, indiquant qu’à ce jour, Bitdefender avait détecté 60 000 échantillons différents d’applications contenant cet adware. L’entreprise a par ailleurs indiqué qu’il était probable que d’autres applications similaires existent.
La campagne en question a débuté en octobre de l’année dernière. Elle est actuellement diffusée sous la forme de faux logiciels de sécurité, de tricheurs, de cracks de jeux, de logiciels VPN, de Netflix et d’applications utilitaires qui existent sur des sites tiers. La campagne de logiciels malveillants menée par les acteurs de la menace vise également les utilisateurs Américains. Elle vise également les utilisateurs basés au Brésil, en France, en Allemagne, en Corée du Sud et au Royaume-Uni.
Les applications malveillantes en question ne sont pas hébergées sur Google Play Store, mais elles existent sur des sites web tiers sur le moteur de recherche Google. Les applications font la promotion d’APK ou de paquets Android qui permettent à l’utilisateur d’installer manuellement les applications mobiles.
Lorsqu’un utilisateur visite ces sites infectés, il est soit redirigé vers les sites web qui affichent les publicités, soit invité à télécharger l’application recherchée. Les sites de téléchargement sont également créés pour propager les applications Android malveillantes sous la forme d’un APK qui, une fois installé, infecte les appareils Android avec des logiciels publicitaires.
Comment la campagne de logiciels publicitaires se déroule-t-elle ?
Lorsqu’une application a été installée sur l’appareil d’un utilisateur, elle ne se configure pas pour s’exécuter automatiquement, car cela nécessiterait des autorisations supplémentaires. Au lieu de cela, cette application utilise le processus normal d’installation d’une application Android, qui invite l’utilisateur à lancer l’application immédiatement après la fin du processus d’installation.
Ces applications malveillantes n’utilisent pas non plus d’icône et contiennent un caractère UTF-8 dans l’étiquette de l’application, ce qui leur permet d’éviter d’être détectées. Toutefois, si l’utilisateur ne lance pas l’application après son installation, il est probable qu’elle ne sera pas lancée par la suite.
Si l’application est lancée, elle affichera un message d’erreur indiquant que l’application n’est plus disponible dans une certaine région, après quoi l’application invitera l’utilisateur à la désinstaller. Cependant, l’application ne sera pas désinstallée. Au lieu de cela, elle reste en sommeil pendant deux heures, après quoi elle crée deux « intentions » qui la forcent à se lancer après le démarrage de l’appareil ou lorsqu’il est déverrouillé.
Une fois l’application lancée, elle se rendra sur les serveurs des attaquants et récupérera les URL des publicités qui s’afficheront dans le navigateur mobile ou sous la forme d’une publicité WebView qui peut être visualisée en plein écran.
Les applications malveillantes sont actuellement utilisées pour afficher des publicités. Cependant, les chercheurs en cybersécurité ont averti qu’il était possible pour les acteurs de la menace de remplacer les URL des logiciels publicitaires par d’autres sites web malveillants.
Après analyse, la campagne est conçue pour pousser agressivement des logiciels publicitaires sur les appareils Android dans le but de générer des revenus. Cependant, les acteurs de la menace impliqués peuvent facilement changer de tactique pour rediriger les utilisateurs vers d’autres types de logiciels malveillants, tels que des chevaux de Troie bancaires pour voler des identifiants et des informations financières ou des ransomwares.
Les développeurs de logiciels malveillants ciblent généralement les appareils Android car ces derniers ne sont pas en mesure d’installer des applications en dehors de Google Play Store, où elles ne seront pas correctement évaluées pour détecter les logiciels malveillants. Cependant, les hackers ont continué à chercher des moyens d’éviter la détection même sur Google Play Store, ce qui favorise la distribution de ces applications malveillantes.
Dr.Web et CloudSEK ont détecté la semaine dernière un logiciel espion malveillant, connu sous le nom de SDK, qui a été installé plus de 400 millions de fois sur des appareils Android à partir d’applications fonctionnant sur Google Play Store.
Google Play Store est une plateforme qui contient encore des applications malveillantes. Toutefois, il est important d’installer les applications Android à partir de la boutique officielle d’Android, car il s’agit d’une alternative plus sûre. Il est également déconseillé d’installer des applications Android à partir de sites web tiers, car ces sites sont connus pour distribuer des logiciels malveillants.
