Les chercheurs en sécurité ont découvert de nombreuses applications Android et iOS infectant des millions d’appareils avec des logiciels publicitaires.

Les chercheurs en sécurité ont identifié de nombreuses applications dans le Play Store de Google et l’App Store d’Apple qui, avec un total combiné de plus de 13 millions d’installations sur des appareils Android et iOS, ont apporté à leurs créateurs des revenus somptueux grâce à la fraude publicitaire.

La troisième vague frappe de nombreuses applications sur Android et iOS

Les chercheurs en sécurité de l’équipe Satori Threat Intelligence and Research de HUMAN ont identifié de nombreuses applications mobiles qui font partie d’un « Scylla” a mentionné la campagne de fraude publicitaire. Sont concernés 75 applications Android sur Google Play et dix autres applications iOS sur l’App Store d’Apple. Ensemble, ils ont plus de 13 millions d’installations.

Scylla serait la troisième vague de l’opération »Poséidon » loi. Les chercheurs l’avaient déjà découvert en août 2019. La deuxième vague sous le nom de «Charybde» a culminé vers la fin de 2020.

Les publicités apparaissent souvent en arrière-plan

Les experts en sécurité ont découvert que 29 applications Scylla usurpaient l’identité de jusqu’à 6 000 applications basées sur la télévision connectée et changeaient régulièrement leurs identifiants pour échapper à la détection de fraude du système Android ou iOS. Parfois, les publicités sont chargées dans des fenêtres WebView masquées. Cela fonctionne complètement en arrière-plan, de sorte que l’utilisateur ne remarque jamais rien de suspect. En attaquant plusieurs SDK publicitaires, les applications malveillantes peuvent même cliquer sur les publicités invisibles. Cela génère des revenus supplémentaires dans les poches des développeurs.

A travers un « planificateur de travaux« L’adware déclenche parfois des publicités lorsque les victimes n’utilisent pas activement leurs appareils Android ou iOS et que l’écran est éteint. Par rapport à la première campagne de fraude publicitaire de cette opération, les applications Scylla utilisent des couches supplémentaires d’obscurcissement du code. Par exemple, l’obfuscateur Java Allatori est utilisé pour cela, qui peut remplacer certains éléments du code source. De ce fait, sa logique est alors difficile à comprendre. Cela rend d’autant plus difficile pour les chercheurs en sécurité de repérer les applications malveillantes et de comprendre leur fonctionnement.

Les utilisateurs d’Android et d’iOS doivent rester vigilants

Google et Apple ont déjà supprimé les applications concernées de leurs magasins à la suite des conclusions de l’équipe Satori. Quiconque possède un appareil Android et n’a pas désactivé la fonction de sécurité Play Protect devrait déjà être protégé contre les escrocs. Sur les appareils Apple, en revanche, les utilisateurs peuvent être amenés à supprimer eux-mêmes les applications frauduleuses si elles sont déjà installées.

Une indication possible qu’un logiciel publicitaire est installé sur votre propre smartphone est, par exemple, une décharge rapide de la batterie ou une consommation accrue de volume de données. Mais même si une application apparaît soudainement sur l’appareil Android ou iOS dont vous ne vous souvenez pas avoir installé ou si le système affiche des publicités complètement inattendues, cela vaut souvent la peine d’y regarder de plus près.

De plus, les smartphones plus anciens en particulier courent un plus grand risque d’être infectés par des logiciels malveillants en raison du support logiciel limité.