Pendant plusieurs semaines, une vaste campagne d’adware a prospéré sur le Google Play Store, poussant les smartphones infectés dans leurs retranchements, finissant par épuiser batterie, data… et patience
Les équipes de Check Point ont confirmé avoir mis la main sur un réseau d’applications Android malveillantes, circulant librement sur le Play Store depuis le début du mois d’octobre. Présentées comme des utilitaires lambda et des éditeurs d’émojis, elles cumulaient alors plusieurs millions d’installations, l’une d’entre elles figurant même fièrement en deuxième position du classement des « Meilleurs outils gratuits » mis en avant par Google. L’enquête a finalement révélé qu’il s’agissait d’une campagne d’adware, baptisée GhostAd, qui faisait tourner en continu un moteur publicitaire responsable de ralentissements, de surchauffes et d’une chute anormale de l’autonomie sur les appareils touchés, entre autres inconvénients plus ou moins visibles.
Une diffusion massive soutenue par un fonctionnement difficile à détecter
Fin novembre, lorsque Check Point flaire le loup, seules cinq applications sont encore disponibles sur le Play Store. L’examen des versions précédentes montre pourtant qu’à son apogée, la campagne avait atteint un niveau autrement important quelques semaines plus tôt, fédérant une quinzaine d’applications coordonnées. Toutes partagent la même structure interne et le même code publicitaire, formant un réseau pensé pour prolonger son activité le plus longtemps possible sans attirer l’attention.
Au fil de leurs analyses, les chercheurs découvrent un système conçu pour rester actif en continu, même après fermeture de l’une des applis malveillantes ou redémarrage complet du téléphone. Le code s’appuie pour cela sur un service déclaré en tâche de fond, autorisé par Android à fonctionner en permanence tant qu’il signale sa présence. Dans le cas de GhostAd, ce signalement passe par une notification persistante vide et impossible à supprimer. En parallèle, les applis vérolées embarquent un programmateur chargé de relancer les opérations dès qu’Android tente de les mettre en veille, engageant le smartphone infecté dans une boucle infinie de requêtes publicitaires.
Sans surprise, les conséquences de GhostAd finissent par remonter dans les commentaires du Play Store, alors que les internautes piégés font état de surchauffe et de ralentissements inexpliqués, d'enveloppes data sacrifiées, de batterie fondant comme neige au soleil, de pop-ups plein écran intempestives, et d’icône introuvable au moment de désinstaller l’appli frauduleuse.
Un nettoyage complet qui ne règle pas les limites du Play Store
Alertée par Check Point, Google a confirmé avoir purgé du Play Store l’ensemble des applications liées à GhostAd, certaines déjà écartées en amont, d’autres supprimées dans la foulée du signalement. Sur les appareils où elles avaient été installées, Google Play Protect se charge désormais de les désactiver automatiquement, quel que soit le canal de téléchargement. La campagne est donc officiellement close, même si son ampleur interroge sur la capacité du Play Store à détecter à temps des dérives qui s’appuient sur des fonctions parfaitement légitimes d’Android.
Enfin, ce n’est pas parce que GhostAd n’est plus que d’autres ne prendront pas le relais. On continue donc d’appliquer les réflexes habituels, en prenant le temps de parcourir les avis sans se limiter aux quelques premiers commentaires mis en avant, de vérifier que les permissions demandées sont cohérentes avec les fonctions annoncées, de s’assurer que l’éditeur est identifiable et traçable, et de considérer le compteur de téléchargements pour ce qu’il est, autrement dit un indicateur parmi d’autres, mais jamais une garantie à lui seul.
Source : Check Point
