Une campagne « fleeceware » Android a été découverte qui a débuté il y a près de deux ans, impliquant environ 470 applications dans le Google Play Store qui ont été téléchargées au moins 105 millions de fois et qui ont peut-être volé des centaines de millions de dollars aux utilisateurs de téléphones du monde entier. .
Les chercheurs de la société de sécurité Zimperium ont nommé la campagne « Dark Herring ». Dans un rapport publié hier (26 janvier), ils ont expliqué que les applications elles-mêmes fonctionnaient comme promis – en tant que jeux, applications de divertissement, outils de productivité, filtres photo, etc.
(Une autre application malveillante, sans rapport avec Dark Herring, a été trouvée dans le Google Play Store un jour plus tard.)
Mais les applications ont également renvoyé de nombreux utilisateurs vers des pages Web trompeuses, adaptées aux langues et aux pays de résidence des utilisateurs. Ces pages demandaient aux utilisateurs d’entrer leurs numéros de téléphone pour la « vérification », mais en fait, les utilisateurs s’engageaient à payer des frais récurrents d’une moyenne de 15 $ par mois, ce qui représente beaucoup d’argent dans certaines parties du monde.
Les chercheurs de Zimperium ont qualifié Dark Herring de « l’une des campagnes de logiciels malveillants les plus étendues et les plus réussies en termes de nombre d’applications » qu’ils avaient vues en 2021.
« Le montant total d’argent arnaqué par des utilisateurs sans méfiance pourrait… atteindre des centaines de millions de dollars », ont-ils ajouté.
Comment éviter et se débarrasser de ces applications malveillantes
Les applications malveillantes ont maintenant disparu du Google Play Store, mais elles peuvent toujours être trouvées sur les marchés d’applications « hors route », selon Zimperium. Vous voudrez éviter d’en installer un, et si vous en avez déjà un sur votre téléphone, vous voudrez le désinstaller.
Il y a une liste complète des applications liées à Dark Herring sur cette page Web. Malheureusement, la liste n’est pas dans un ordre particulier.
Votre meilleur pari est de charger cette liste dans un navigateur Web de bureau, d’appuyer sur Contrôle-F sur votre clavier et de rechercher les noms de toutes les applications sur votre téléphone (ou dans un magasin d’applications) dont vous pourriez avoir des doutes.
Si vous obtenez une correspondance sur le nom, vous pouvez confirmer s’il s’agit bien de la même application en utilisant le nom du package à gauche du nom – c’est la chaîne de texte qui commence par « com ». (De nombreuses applications Android ont des noms identiques ou similaires, mais les noms de packages sont uniques.)
Sur une boutique d’applications, vous pouvez le repérer car le nom du package fait souvent partie de l’URL de la page de liste de l’application. Et si vous pensez que l’une de ces applications se trouve sur votre téléphone, copiez et collez cette URL dans la barre d’adresse du navigateur Web de votre ordinateur :
https://play.google.com/store/apps/details?id=
… mais n’appuyez pas encore sur Entrée ou Retour. Au lieu de cela, copiez le nom du package de l’application suspecte dans la liste des applications Dark Herring. Collez le nom du package à la fin de l’URL, après le signe égal, puis appuyez sur Retour ou Entrée.
Si vous obtenez une page Google Play presque vide indiquant « Nous sommes désolés, l’URL demandée est introuvable sur ce serveur », l’application a été supprimée de Google Play. Désinstallez-le de votre téléphone.
Si vous obtenez une page d’application régulière, l’application n’est pas impliquée dans cette campagne de logiciels malveillants et vous pouvez la conserver sur votre téléphone.
Fonctionnement de la campagne sur les polaires Dark Herring
Dark Herring fonctionne en abusant de la facturation directe par l’opérateur, une fonctionnalité courante dans de nombreux pays grâce à laquelle les utilisateurs de téléphones peuvent acheter des articles physiques ou des services numériques à l’aide de leurs téléphones.
Sur le plan fonctionnel, la facturation directe par l’opérateur est similaire à Apple Pay ou Google Pay, sauf que les frais apparaissent sur la facture de téléphone de l’utilisateur au lieu d’un compte Apple ou Google.
Au lieu de vider l’argent d’un utilisateur, comme le ferait un cheval de Troie bancaire sur un solde bancaire, Dark Herring exploite simplement le compte de l’opérateur mobile de l’utilisateur, ajoutant des frais récurrents supplémentaires que l’utilisateur pourrait ne pas remarquer. (Un cynique dirait que de nombreux opérateurs de téléphonie fixe et mobile font déjà quelque chose de similaire.)
Une partie du subterfuge est que les applications Dark Herring ne sont pas fausses et fonctionnent comme annoncé afin que l’utilisateur ne détecte rien de mal.
« Contrairement à de nombreuses autres applications malveillantes qui ne fournissent aucune capacité fonctionnelle, la victime peut utiliser ces applications », indique le rapport de Zimperium, « ce qui signifie qu’elles restent souvent installées sur les téléphones et les tablettes longtemps après l’installation initiale ».
Encore une fois, les applications elles-mêmes n’attaquent pas les téléphones et ne contiennent aucun code manifestement malveillant, ce qui explique probablement comment elles ont pu passer les contrôles de logiciels malveillants de Google Play. En fait, bon nombre des meilleurs moteurs de détection de logiciels malveillants des applications antivirus Android ne les ont pas signalés non plus lorsque nous avons vérifié les hachages des applications dans Virus Total au moment d’écrire ces lignes.
Au lieu de cela, les applications téléchargent des scripts supplémentaires qui déterminent la langue dans laquelle chaque téléphone est configuré et dans quel pays se trouve le téléphone – suspect mais ni malveillant ni inhabituel. Ces informations sont téléchargées sur un serveur de commande et de contrôle qui décide s’il faut essayer d’escroquer l’utilisateur.
Si la décision est oui, l’application charge alors un site Web malveillant, correspondant au pays et à la langue de l’utilisateur, qui demande à l’utilisateur de soumettre un numéro de téléphone « pour vérification ».
« Les utilisateurs sont généralement plus à l’aise avec le partage d’informations sur un site Web dans leur langue locale », a écrit Zimperium. « Mais en réalité, ils soumettent leur numéro de téléphone à un service de facturation directe par l’opérateur qui commence à leur facturer en moyenne 15 USD par mois. »
Des victimes de Dark Herring ont été détectées dans plus de 70 pays à travers la planète, y compris presque tous les pays des Amériques, d’Europe, d’Océanie et d’Asie de l’Est.
Cependant, les utilisateurs d’environ une douzaine de pays et demi, principalement au Moyen-Orient, en Asie du Sud, en Scandinavie et dans les États baltes, étaient particulièrement vulnérables « en raison du manque de consommateurs [protections] de ces types d’escroqueries de facturation directe par l’opérateur », a écrit Zimperium.