Les chercheurs en cybersécurité de Bitdefender dévoilent une campagne malveillante pour des appareils mobiles Android. Elle est passée sous les radars durant plus de six mois. Au moins plus de 60 000 applications Android différentes contenant un malware de type adware ont été distribuées en se faisant passer pour des applications légitimes.
La campagne aurait débuté en octobre 2022, avec la distribution d'applications pour des cracks de jeux, des VPN gratuits, de fausses applications de sécurité, de faux tutoriels, YouTube ou TikTok sans publicités, l'emprunt du mot Netflix et divers utilitaires.
D'après les détections de Bitdefender, les utilisateurs ciblés sont principalement aux États-Unis (55,27 %), Corée du Sud (9,8 %), Brésil (5,96 %), Allemagne (2,93 %), Royaume-Uni (2,71 %) et en France (2,56 %).
Pas dans le Google Play Store
Les applications compromises ne sont pas proposées sur Google Play, mais par le biais de sites web tiers où elles peuvent également imiter des applications disponibles dans une boutique officielle d'applications.
Pour attirer de potentielles victimes, elles doivent donc correspondre à une réelle attente des utilisateurs (y compris avec des résultats de recherche) et l'installation d'un APK est manuelle. Après installation, il n'y a pas de configuration pour une exécution automatique qui nécessite des privilèges. Les utilisateurs sont invités à ouvrir l'application.
L'application malveillante installée ne propose pas d'icône dans le launcher (ou ailleurs). Une des tactiques afin d'éviter une détection. Lors du premier lancement de l'application par l'utilisateur, un message indique qu'elle n'est pas disponible dans le pays concerné et qu'il faut appuyer sur " OK " pour une désinstallation.
En arrière-plan, c'est une activité malveillante qui est insidieusement enclenchée… sans désinstallation de quoi que ce soit. L'adware peut rester inactif pendant un certain temps, puis entrer en action dans une WebView lorsque le smartphone est déverrouillé afin d'afficher une publicité en plein écran.
Un adware, voire plus pour la suite
" La campagne est conçue pour pousser de manière agressive un adware sur les appareils Android dans le but de générer des revenus. Cependant, les acteurs de la menace impliqués peuvent facilement changer de tactique pour rediriger les utilisateurs vers d'autres types de malwares, comme les chevaux de Troie bancaires pour voler des identifiants et des informations financières, ou des ransomwares ", prévient Bitdefender.
Un point souligné est en outre la distribution à l'échelle mondiale. Elle est d'autant plus notable qu'une boutique d'applications officielle ne fait pas partie des moyens de diffusion.
