Google Play: Une campagne d’applications photo malveillantes découverte

Une nouvelle campagne d’applications photo malveillantes sur Google Play bombarde les appareils Android d’annonces aléatoires au lieu de fonctionner normalement. Ils échappent également à la détection en faisant disparaître leur icône de l’écran d’accueil de l’appareil peu de temps après leur téléchargement.

Des chercheurs ont découvert des applications Android – 29 au total – qui, selon eux, «provoquaient un volume important de trafic publicitaire».

L’équipe – composée des chercheurs Gabi Cirlig, Michael Gethers, Marion Habiby, Christopher Soo et Dina Haines – a appelé la campagne «ChartreuseBlur», en partie parce que la majorité des applications incluent le mot «blur (flou)» dans le nom de leur package. Beaucoup prétendent également être des éditeurs de photos qui permettent aux utilisateurs de brouiller des sections d’une image, ont-ils déclaré.

Il existe plusieurs caractéristiques clés qui peuvent alerter les utilisateurs s’ils sont victimes du téléchargement de l’une des applications malveillantes (ces applications ont été téléchargées plus de 3,5 millions de fois, selon les chercheurs).

google play

L’une des caractéristiques de l’application est qu’une fois téléchargée, elle joue à «cache-cache» avec l’appareil, l’icône disparaissant de l’écran d’accueil, obligeant les utilisateurs à accéder aux paramètres pour trouver l’application s’ils veulent voir si elle a été installée et l’ouvrir. Cela rend les choses très difficile pour un utilisateur moyen qui veut supprimer l’application. Square Photo Blur a depuis été supprimé du Google Play Store.

Les chercheurs ont fait une analyse sur l’une des applications en particulier, appelée Square Photo Blur, constatant que son comportement était cohérent avec toutes les applications malveillantes. Ils ont découvert qu’une fois que l’application est téléchargée, elle commence à bombarder l’appareil de publicités, «apparaissant juste de nulle part», un phénomène connu sous le nom de diffusion de publicités hors contexte.

Une autre caractéristique des applications de la campagne est que tous les développeurs répertoriés pour les applications ont des noms aléatoires à consonance anglaise qui sont clairement faux, selon le rapport. Le développeur répertorié pour Square Photo Blur sur Google Play, par exemple, s’appelait “Thomas Mary”.

Les applications de la campagne ont généralement une évolution de charge utile en trois étapes, ont observé les chercheurs. Dans les deux premières étapes, le code semble innocent, mais la troisième phase est l’endroit où ils ont détecté une activité néfaste.

Dans un premier temps, l’application est installée à l’aide d’un packer Qihoo, ce qui en soi n’est pas suspect. Elle utilise également une application stub, ou des stubs, qui sont généralement utilisés par les développeurs comme espace réservé pour le code non encore développé lors du test d’autres parties du code.

Cela configure l’application pour la deuxième étape, dans laquelle elle est utilisée comme enveloppe autour d’une autre application Blur, com.appwallet.easyblur, qui est visible après le décompression de Square Photo Blur. Cette application ne fait rien de malveillant non plus; les auteurs l’ont probablement utilisé «pour inciter les utilisateurs à croire qu’ils ont téléchargé une application légitime avec Square Photo Blur», ont observé les chercheurs.

Selon le rapport, la troisième étape de l’installation de l’application est celle où l’application commence à devenir malveillante. C’est dans cette phase que le code malveillant génère les publicités OOC, et il apparaît sous la forme de packages com.bbb. *, tels que com.bbb.NewIn. Le code présent dans l’application peut diffuser des publicités OOC chaque fois qu’un utilisateur déverrouille l’écran, commence à charger le téléphone ou passe des données mobiles au WiFi et vice versa, selon les chercheurs.

En effet, l’équipe de Satori a découvert l’extrait de code responsable des publicités OOC sur VirusTotal (VT), ajoutant que les échantillons VT semblent être de légères variations du même code de base avec des modifications incrémentielles. Cela aide probablement l’application à éviter la détection par les sociétés d’antivirus, ont déclaré les chercheurs.

android

Une fois entièrement installés, les chercheurs ont cliqué sur l’icône du lanceur de l’application Square Photo Blur sur un appareil de test et ont trouvé qu’il s’agissait essentiellement d’une «coque creuse d’une application, juste assez pour passer les vérifications du Google Play Store».

Ils ont souligné que les avis peuvent être utiles pour éviter les applications malveillantes comme celles-ci: «L’examen des commentaires dans la section Avis de cette application révèle un sentiment négatif à l’égard de ce développeur. Les critiques suggèrent que l’application est à peine fonctionnelle avec de nombreux reports d’annonces OOC. “

L’équipe de Satori a inclus une liste des applications malveillantes dans le rapport et a recommandé à quiconque les utilisant de les supprimer immédiatement. Les chercheurs prévoient de continuer à surveiller la situation.

Google Play a déjà supprimé les applications

Les applications ont été supprimées du Google Play Store, mais les utilisateurs devront supprimer celles qui ont déjà été installées. L’équipe de Satori a inclus une liste des applications malveillantes dans son rapport et a recommandé à toute personne qui les utilisait de les supprimer immédiatement. Les chercheurs prévoient de continuer à surveiller la situation.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x