Des milliers d'applications Android Adware se cachent dans de faux packages fissurés
Une campagne publicitaire à grande échelle ciblant les appareils Android a été découverte, impliquant des milliers d'applications déguisées en versions crackées ou modifiées d'applications populaires. La campagne, en cours depuis octobre 2022, vise à générer des revenus en bombardant les utilisateurs de publicités indésirables. Cependant, les acteurs de la menace derrière lui ont la capacité de changer de tactique et de distribuer d'autres types de logiciels malveillants tels que des chevaux de Troie bancaires ou des rançongiciels pour voler des informations sensibles.
Selon un rapport technique de la société de cybersécurité Bitdefender, environ 60 000 applications uniques contenant le logiciel publicitaire ont été identifiées. La majorité des détections ont été trouvées dans des pays comme les États-Unis, la Corée du Sud, le Brésil, l'Allemagne, le Royaume-Uni, la France, le Kazakhstan, la Roumanie et l'Italie.
Distribution et applications usurpées
Notamment, aucune de ces applications malveillantes n'est distribuée via le Google Play Store officiel. Au lieu de cela, les utilisateurs recherchant des applications populaires telles que Netflix, des visionneuses PDF, des logiciels de sécurité ou des versions piratées de YouTube sur les moteurs de recherche sont redirigés vers des pages publicitaires hébergeant le logiciel malveillant.
Une fois installées, ces applications prennent des mesures pour éviter la détection, car elles n'ont pas d'icônes ni de noms visibles. De plus, lorsque les utilisateurs lancent l'application pour la première fois, un message leur indique que l'application n'est pas disponible dans leur région et les invite à la désinstaller, tandis que l'activité malveillante reste active en arrière-plan.
Mode de fonctionnement des fausses applications
Un aspect notable de cette campagne est le modus operandi de l'adware. Initialement, le logiciel publicitaire reste inactif pendant quelques jours, puis s'active lorsque la victime déverrouille son téléphone, affichant des publicités en plein écran à l'aide d'Android WebView.
Dans une découverte distincte, la société de cybersécurité CloudSEK a découvert le SDK escroc SpinOK, précédemment divulgué par Doctor Web, intégré dans 193 applications sur le Google Play Store, avec un total de 30 millions de téléchargements. Ce module se présente comme un moyen d'engager les utilisateurs avec des mini-jeux et des tâches pour gagner des récompenses, mais contient en fait des fonctions malveillantes pour voler des fichiers et manipuler le contenu du presse-papiers.
De plus, l'équipe de recherche SonicWall Capture Labs Threat a découvert une autre souche de logiciels malveillants Android qui se fait passer pour des applications légitimes et exploite les services d'accessibilité du système d'exploitation pour collecter un large éventail d'informations à partir d'appareils compromis. Ce type d'attaque peut conduire à diverses activités frauduleuses, notamment la fraude financière et le vol d'identité.
