43 applications Android sur Google Play avec 2,5 millions d’installations chargées d’annonces lorsqu’un écran de téléphone était éteint

Les experts ont trouvé 43 applications Android sur Google Play avec 2,5 millions d’installations qui affichaient des publicités alors que l’écran d’un téléphone était éteint.

Récemment, des chercheurs de McAfees Mobile Research Team ont découvert 43 applications Android sur Google Play avec 2,5 millions d’installations qui chargeaient des publicités alors que l’écran d’un téléphone était éteint.

Les experts ont souligné que ce comportement enfreint la politique des développeurs Google Play, en affectant les annonceurs qui paient pour des annonces qui ne seront jamais affichées aux utilisateurs, ainsi que les utilisateurs, car cela décharge la batterie, consomme des données et les expose à de multiples risques, y compris des informations. les fuites et la perturbation du profilage des utilisateurs causées par le comportement du Clicker.

Les applications malveillantes incluent les lecteurs TV/DMB, les téléchargeurs de musique, les applications d’actualités et les applications de calendrier.

La campagne de fraude publicitaire découverte par McAfee ciblait principalement les utilisateurs coréens d’Android.

Selon le rapport, la bibliothèque de fraudes publicitaires utilisée dans cette campagne met en œuvre des astuces spécifiques pour éviter la détection et l’inspection, comme retarder le lancement de ses activités frauduleuses.

« Il retarde délibérément le lancement de ses activités frauduleuses, créant une période de latence à partir du moment de l’installation. De plus, toutes les configurations complexes de cette bibliothèque peuvent être modifiées à distance et poussées à l’aide du service Firebase Storage ou Messaging. Ces facteurs ajoutent considérablement à la complexité de l’identification et de l’analyse de ce comportement frauduleux. » lit le rapport. « Notamment, la période de latence s’étend généralement sur plusieurs semaines, ce qui la rend difficile à détecter. »

Les applications malveillantes commencent à récupérer et à charger les publicités lorsque l’écran de l’appareil est éteint après la période de latence. Les utilisateurs ne sauront jamais que leurs appareils sont impliqués dans ce stratagème frauduleux. La bibliothèque d’annonces enregistre les informations sur l’appareil en accédant au domaine unique (ex : mppado.oooocooo.com) lié à l’application. L’application récupère l’URL de publicité spécifique à partir de FirebaseStorage et affiche les annonces.

Cependant, en allumant rapidement les écrans, il est possible d’apercevoir l’annonce avant qu’elle ne se ferme automatiquement.

« En conclusion, il est essentiel que les utilisateurs fassent preuve de prudence et évaluent soigneusement la nécessité d’accorder des autorisations telles que l’exclusion d’économie d’énergie ou de dessiner sur d’autres applications avant de les autoriser. Bien que ces autorisations puissent être requises pour certaines fonctionnalités légitimes pour s’exécuter en arrière-plan, il est important de prendre en compte les risques potentiels qui y sont liés, tels que l’activation de comportements cachés ou la réduction de la pertinence des publicités et des contenus affichés pour les utilisateurs en raison du comportement caché du Clicker. conclut le rapport.

Les chercheurs ont également partagé des indicateurs de compromission (IoC) pour ces applications ainsi que le nom des packages Android.

Suis moi sur Twitter: @affairesdesecurite et Facebook et Mastodonte

Pierluigi Paganini

(Affaires de sécuritépiratage, Google Play)