Téléchargées des dizaines de millions de fois, ces applications dissimulaient un module de fraude avancé, activé uniquement dans des conditions précises.
Et hop, rebelote. Google a de nouveau été contrainte de faire le ménage dans son Play Store après la découverte de 224 applications malveillantes, enrôlées dans une vaste campagne de fraude publicitaire. Baptisée SlopAds par les chercheurs de l’équipe Satori de HUMAN, l’opération s’appuyait sur un réseau d’applis a priori classiques, téléchargées plus de 38 millions de fois un peu partout dans le monde, et capables de générer jusqu’à 2,3 milliards de requêtes publicitaires par jour. Un manège lucratif, qui, au vu de l'ampleur du réseau, dure certainement depuis un moment déjà.
Une fraude déclenchée uniquement dans les « bons » cas
Et si Google a tardé à débusquer le lièvre, c’est parce que les applications impliquées dans SlopAds faisaient (presque) exactement ce qu’on attendait d’elles. Presque, car une fois installées, elles contactaient un serveur distant pour récupérer une configuration chiffrée permettant de déterminer leur mode d’installation depuis le Play Store : en direct, ou après un clic sur une publicité.
Dans ce second cas, l’application frauduleuse téléchargeait un module malveillant, dissimulé dans quatre fichiers PNG, puis reconstitué localement. Ce composant ouvrait en tâche de fond des WebViews invisibles, sortes de mini-navigateurs sans interface, pour charger et cliquer automatiquement sur des annonces hébergées sur des sites contrôlés par les fraudeurs.
Évidemment, tout trafic était dissimulé derrière une cascade de redirections et de paramètres, conçus pour faire passer ces clics automatisés pour des interactions humaines. Résultat, des milliards d’impressions et de clics générés en douce, alors que la victime pensait simplement consulter la météo du jour.
Derrière cette entourloupe, les chercheurs ont identifié une infrastructure dense, composée de plusieurs serveurs de commande et de contrôle, appuyée par plus de 300 domaines servant à diffuser ou promouvoir les applications piégées. Un trafic massif, observé dans 228 pays, principalement aux États-Unis, en Inde et au Brésil, qui laisse penser que les 224 applications recensées ne formaient qu’une partie de l’équation.
Une campagne stoppée, mais adaptable
Google a depuis retiré l’ensemble des applications identifiées du Play Store. Sur les appareils Android certifiés, Play Protect a été mis à jour pour bloquer toute tentative d’installation, y compris depuis des sources tierces. Les utilisateurs et utilisatrices ayant encore l’une de ces applis installée sur leur smartphone devraient également recevoir une alerte les invitant à la désinstaller.
Mais la partie est loin d’être terminée. Le rapport de HUMAN évoque une campagne évolutive, avec des adaptations en cours au moment de la rédaction. Le volume de trafic associé à SlopAds avait d’ailleurs explosé en quelques jours, signe que les opérateurs testaient activement de nouveaux vecteurs.
Ce que vous pouvez faire, même quand tout semble normal
SlopAds a surtout visé des applications banales, installées volontairement depuis le Play Store, sans comportement suspect visible. En l’absence de signes évidents, difficile pour quiconque de détecter la fraude sans outils spécialisés.
Le mieux reste donc d’installer le moins d’applications possible, en particulier concernant les utilitaires basiques (météo, lampe torche, optimisation, etc.), de faire confiance aux alertes Play Protect, et de rester vigilant face aux apps sur-promues par la pub. Un nom inconnu, une avalanche d’avis positifs sans contenu ou une fiche ultra-minimaliste devraient suffire à semer le doute.
Source : HUMAN Satori Threat Intelligence
