Des centaines d'applications malveillantes hébergées sur Google Play

Les chercheurs en sécurité de Bitdefender ont identifié une campagne de fraude publicitaire à grande échelle qui a déployé des centaines d'applications malveillantes dans le Google Play Store, entraînant plus de 60 millions de téléchargements au total. Les applications affichent des publicités hors contexte et tentent même de persuader les victimes de donner des informations d'identification et de carte de crédit dans le cadre d'attaques de phishing.

Le Google Play Store est souvent la cible de cybercriminels qui tentent de télécharger des applications malveillantes en contournant les protections existantes. Google purge la boutique de ces applications, soit de son propre chef, soit après avoir été averti par des chercheurs, mais les criminels s'adaptent.

C'est l'une des principales raisons pour lesquelles les utilisateurs ne peuvent pas se contenter de la protection disponible par défaut sur les appareils Android et le Google Play Store, et pour lesquelles Bitdefender a mis au point des technologies dédiées à ce problème.

La technologie intégrée à Bitdefender Mobile Security, App Anomaly Detection, observe le comportement des applications après leur installation, ce qui est essentiel dans le paysage actuel des menaces. Dans certains cas, des acteurs malveillants modifient les fonctionnalités d'applications auparavant inoffensives qui avaient déjà été autorisées sur le Google Play Store, les transformant en logiciels dangereux.

Les chercheurs en sécurité du IAS Threat Lab ont découvert une partie de cette campagne, dépassant les 180 applications. Cependant, la campagne est bien plus vaste, comme l'ont appris les chercheurs en sécurité de Bitdefender, et les dangers vont au-delà de ce que nous observons habituellement. Les criminels ont utilisé leur accès aux appareils pour diriger les utilisateurs vers des sites de phishing, et pas seulement pour leur montrer des publicités ennuyeuses en plein écran.

Principales conclusions

• La campagne comporte au moins 331 applications disponibles sur le Google Play Store (15 étaient encore en ligne au moment de la recherche), qui ont été téléchargées plus de 60 millions de fois.
• Les attaquants ont trouvé un moyen de masquer les icônes des applications dans le lanceur, ce qui est limité sur les dernières versions d'Android.
• Dans la plupart des cas, les applications disposent d'une certaine fonctionnalité, mais elles peuvent afficher des publicités hors contexte sur d'autres applications au premier plan, en contournant les restrictions sans utiliser les autorisations spécifiques qui permettent ce comportement.
• Certaines applications ont tenté de collecter les informations d'identification de l'utilisateur pour des services en ligne, voire des données de carte de crédit, par le biais d'attaques de phishing.
• Les applications peuvent démarrer sans interaction de l'utilisateur, même si cela ne devrait pas être techniquement possible sous Android 13.
• La campagne semble être l'œuvre d'un seul acteur ou de plusieurs criminels utilisant le même outil de conditionnement vendu sur les marchés noirs.

Analyse et vue d'ensemble

Les applications étudiées contournent les restrictions de sécurité d'Android pour démarrer des activités même si elles ne sont pas exécutées au premier plan et, sans les autorisations requises, pour spammer les utilisateurs avec des publicités continues en plein écran. Le même comportement est utilisé pour servir des éléments d'interface utilisateur présentant des tentatives d'hameçonnage.

Application imitant des applications utilitaires simples telles que :

• les scanners à codes QR
• les applications de suivi des dépenses
• les applications de santé
• les applications de fond d'écran
• et beaucoup d'autres...

Restez à l'abri des menaces sur vos smartphones et tablettes Android, avec Bitdefender Mobile Security.

Pour plus de détails techniques sur notre recherche antimalware, découvrez le compte-rendu de Bitdefender Labs (en anglais).