lundi, décembre 23, 2024

Applications Google Play avec plus de 20 millions de téléchargements, batteries épuisées et bande passante réseau

Google Play a donné le démarrage à 16 applications avec plus de 20 millions d’installations combinées après que les chercheurs ont détecté une activité malveillante qui pourrait amener les appareils Android sur lesquels ils fonctionnent à vider les batteries plus rapidement et à utiliser plus de données que la normale.

Les applications fournissaient des fonctions légitimes, notamment une lampe de poche, un appareil photo, la lecture QR et des conversions de mesures, a déclaré mercredi la société de sécurité McAfee. Une fois ouvertes, cependant, les applications ont téléchargé subrepticement du code supplémentaire qui les a amenées à commettre une fraude publicitaire. Dès lors, les appareils infectés recevaient des messages via la plate-forme Firebase Cloud Messaging appartenant à Google qui leur demandait d’ouvrir des pages Web spécifiques en arrière-plan et de sélectionner des liens pour gonfler artificiellement le nombre de clics reçus par les annonces.

« Principalement, il s’agit de visiter des sites Web qui sont livrés par message FCM et de les parcourir successivement en arrière-plan tout en imitant le comportement de l’utilisateur », a écrit SangRyol Ryu de McAfee. « Cela peut entraîner un trafic réseau important et consommer de l’énergie sans que l’utilisateur ne s’en aperçoive pendant qu’il génère des bénéfices pour l’auteur de la menace à l’origine de ce malware. »

Le message comprenait la capture d’écran suivante illustrant un petit échantillon des demandes de réseau supplémentaires qu’un appareil a effectuées lors de la fraude.

Toutes les applications malveillantes sont fournies avec une bibliothèque de codes nommée com.liveposting, qui agit comme un agent et exécute des services de logiciels publicitaires cachés. D’autres applications sont également fournies avec une bibliothèque supplémentaire appelée com.click.cas, qui se concentre sur la fonctionnalité de clic automatisé. Pour dissimuler le comportement frauduleux, les applications ont attendu environ une heure après l’installation avant d’exécuter les bibliothèques.

La fraude publicitaire fonctionne par le biais de programmes d’affiliation, qui permettent à un tiers de recevoir une part des revenus publicitaires en échange de la fourniture de liens qui conduisent les utilisateurs finaux vers des publicités. Plutôt que d’amener véritablement de vrais utilisateurs sur le site, les fraudeurs simulent la référence à l’aide de bots ou d’autres méthodes automatisées pour imiter l’engagement réel des utilisateurs.

Les applications détectées par McAfee incluent :

Nom du paquet SHA256 Nom Téléchargé
com.hantor.CozyCamera a84d51b9d7ae675c38e260b293498db071b1dfb08400b4f65ae51bcda94b253e Caméra haute vitesse 10 000 000+
com.james.SmartTaskManager 00c0164d787db2ad6ff4eeebbc0752fcd773e7bf016ea74886da3eeceaefcf76 Gestionnaire de tâches intelligent 5 000 000+
kr.caramel.flash_plus b675404c7e835febe7c6c703b238fb23d67e9bd0df1af0d6d2ff5ddf35923fb3 Lampe de poche+ 1 000 000+
com.smh.memocalendar 65794d45aa5c486029593a2d12580746582b47f0725f2f002f0f9c4fd1faf92c 달력메모장 1 000 000+
com.joysoft.wordBook 82723816760f762b18179f3c500c70f210bbad712b0a6dfbfba8d0d77753db8d K-Dictionnaire 1 000 000+
com.kmshack.BusanBus b252f742b8b7ba2fa7a7aa78206271747bcf046817a553e82bd999dc580beabb BusanBus 1 000 000+
com.candlencom.candleprotest a2447364d1338b73a6272ba8028e2524a8f54897ad5495521e4fab9c0fd4df6d Lampe de poche+ 500 000+
com.movinapp.quicknote a3f484c7aad0c49e50f52d24d3456298e01cd51595c693e0545a7c6c42e460a6 Note rapide 500 000+
com.smartwho.SmartCurrencyConverter a8a744c6aa9443bd5e00f81a504efad3b76841bbb33c40933c2d72423d5da19c Convertisseur de devises 500 000+
com.joysoft.barcode 809752e24aa08f74fce52368c05b082fe2198a291b4c765669b2266105a33c94 Joycode 100 000+
com.joysoft.ezdica 262ad45c077902d603d88d3f6a44fced9905df501e529adc8f57a1358b454040 EzDica 100 000+
com.schedulezero.instapp 1caf0f6ca01dd36ba44c9e53879238cb46ebb525cb91f7e6c34275c4490b86d7 Téléchargeur de profil Instagram 100 000+
com.meek.tingboard 78351c605cfd02e1e5066834755d5a57505ce69ca7d5a1995db5f7d5e47c9da1 Notes Ez 100 000+
com.candlencom.flashlite 4dd39479dd98124fd126d5abac9d0a751bd942b541b4df40cb70088c3f3d49f8 손전등 1 000+
com.doubleline.calcul 309db11c2977988a1961f8a8dbfc892cf668d7a4c2b52d45d77862adbb1fd3eb 계산기 100+
com.dev.imagevault bf1d8ce2deda2e598ee808ded71c3b804704ab6262ab8e2f2e20e6c89c1b3143 Lampe de poche+ 100+

Dans un communiqué, un porte-parole de Google a noté que toutes les applications signalées par McAfee avaient été supprimées. Le représentant a poursuivi en disant : « Les utilisateurs sont également protégés par Google Play Protect, qui bloque ces applications sur les appareils Android. » Le porte-parole n’a pas répondu à une question de suivi demandant comment les applications ont accumulé 20 millions d’installations si elles sont bloquées.

Source-147

- Advertisement -

Latest