Des applications dans le Google Play Store et l'App Store ont été téléchargées plus de 13 millions de fois. Elles sont à désinstaller pour cause d'une opération frauduleuse dénommée Scylla.

Human (anciennement White Ops) est une société de cybersécurité pour la protection des entreprises et plateformes internet contre les attaques sophistiquées de bots, la fraude et l'abus de comptes. Ses chercheurs en sécurité ont publié un rapport sur une opération baptisée Scylla.

Des attaques prennent pour cible des kits de développement (SDK) publicitaires dans des applications disponibles sur le Play Store de Google et l'App Store d'Apple. La campagne d'attaque est toujours active et des applications associées à l'opération Scylla ont été téléchargées plus de 13 millions de fois.

Avant leur retrait des boutiques d'applications de Google et Apple, et suite au signalement d'indicateurs de compromission, les quelque 13 millions de téléchargements ont été générés par plus de 75 applications Android et près d'une dizaine d'application iOS.

Outre Google et Apple, Human indique également avoir travaillé en étroite collaboration avec les développeurs de SDK publicitaires pour faire face aux conséquences de l'opération Scylla.

Le cas échéant, il est recommandé de désinstaller les applications dites frauduleuses si elles sont encore présentes sur un appareil. À noter que le contrôle de sécurité sous l'égide de Google Play Protect sur Android est en mesure de les détecter automatiquement.

Pour de la fraude publicitaire

Les applications en question inondent les utilisateurs avec des publicités via un affichage dans un contexte inhabituel (par exemple de façon aléatoire sur l'écran d'accueil) ou sont présentées de manière à ce que l'utilisateur ne puisse pas les voir (dans des fenêtres WebView cachées sur Android), mais pour autant comptabilisées comme des vues.

Des informations sont glanées à partir de clics réels (moment d'un clic sur une publicité et endroit du clic par exemple) et envoyées sous la forme d'un faux clic dans le but d'en tirer profit. Le rapport de Human souligne également le recours à un identifiant Bundle ID qui ne correspond pas au nom de la publication.

" L'application contient du code qui indique aux annonceurs et aux sociétés de technologie publicitaire qu'il s'agit d'une application totalement différente (ndlr : appartenant à une catégorie plus rentable), dans le but d'inciter ces sociétés à y placer des publicités ou à dépenser plus d'argent pour placer des publicités. " Un serveur de commande et contrôle à distance est à la manœuvre pour la gestion et l'insertion dans le code du Bundle ID à utiliser.

Les applications Android associées à l'opération Scylla

Super Hero-Save the world! (com.asuper.man.playmilk)

Arrow Coins (com.arrow.coins.funny)

Parking Master (com.ekfnv.docjfltc.parking.master)

Lady Run (com.lady.dress.run.sexylady)

Magic Brush 3D (com.magic.brush.gamesly)

Shake Shake Sheep (com.shake.earn.sheep.causalgame)

Number Combination: Colored Chips (com.yigegame.jyfsmnq.gg)

Jackpot Scratcher-Win Real (com.physicswingsstudio.JackpotScratchers)

Scratch Carnival (com.scratchers.jackpot.luckypiggy)

Ztime:Earn cash rewards easily (com.pocky.ztime)

Billionaire Scratch (com.free.tickets.scratchers.Billionaire)

Lucky Wings - Lotto Scratchers (com.free.scratchers.luckywings)

Lucky Star: Lotto Scratch (com.free.tickets.scratchers.LuckyLotto)

Shake Shake Pig (com.ldle.merge.free.coinspiggy)

Lucky Money Tree (com.ldle.merge.lucky.moneytree)

Run And Dance (com.tap.run.and.dance)

Lucky Scratchers: Lotto Card (com.lotto.bingo.lucky.scratchcard)

Pull Worm (com.pull.bugs.worm)

Crowd Battle:Fight the bad guys (com.crowd.battle.goamy)

Shoot Dummy Win Rewards & Paypal Cash (com.shoot.dummy.fast.speed.linger)

Spot 10 Differences (com.different.ten.spotgames)

Find 5 Differences - New (com.find.five.subtle.differences.spot.new)

Dinosaur Legend (com.huluwagames.dinosaur.legend.play)

One Line Drawing (com.one.line.drawing.stroke.yuxi)

Shoot Master (com.shooter.master.bullet.puzzle.huahong)

Talent Trap - NEW (com.talent.trap.stop.all)

Shoot it: Using Gun (com.bullet.shoot.fight.gtommm.tom)

Super Flake (com.chop.slice.flake2020)

Five-Star Slice (com.five.star.slice)

Sand Drawing (com.sand.drawing.newfight)

Mr Dinosaur: Play your Dino (com.topggame.facego.finger.crazy.dino)

Track Sliding New (com.track3d.sliding.new)

Beat Kicker New (com.beat.kicker.two.game)

Fill Color 3D (com.cube.fill.color.paint.turn.fei)

Draw Live (com.draw.live.milipop)

Draw 1 Stroke (com.draw.one.line.stroke.xipi)

Fidget Cubes (com.fidget.cubes.feel.like)

Girls Fight (com.girls.fight.fly)

Ninja Assassin (com.knifeninja.assassin.dltc)

Shooting Puzzle 2020 (com.my.bullet.shooting.man.hunter.youxi)

Pulley Parkour (com.pul.parkour.bbroller)

Chop Flake 3D (com.slice.chop.superslice3d)

Weapon Fantasy (com.weapon.fantasy.games)

Balloon Shooter (com.balloon.shooter.play)

Musical Shoot (com.ltcmusical.fun2021)

Chop Slices (com.lvdiao.chop.slices.chef)

Ninja Slice (com.slice.masked.games)

Work Now! (com.work.now.slack)

Bottle Jump (com.bottle.jump.flip.challenge.fun)

Corn Scraper (com.corn.scraper.cut.pipe.siling)

Idle Wood Maker (com.idle.wood.maker.gametwo)

Pop Girls Schooler (com.pop.girls.schooler)

Romy Rush (com.romy.rushrun)

Spear Hero (com.spear.super.man.hero)

Dig Road Balls (com.dig.road.balls.play.games.ygygame)

BOO Popstar (com.boostar.boo.popstar)

Draw CompleteA (com.darwa.completea.ltca)

Rush 2048:3D Shoot Cubes (com.rushcube.puzzle.block)

Meet Camera (com.magicvcam.hdmeet.cam008)

Auto Stamp Camera (com.stac.amper.qweaf)

(com.find.five.differences.lvye.xsl)

(com.mufc.zwxfb)

Roll Turn (com.roll.turn.song.wusi.pt)

Hiding Draw (com.hiding.drawltc.games)

Peter Shoot (com.ltc.peter.shoot.tslgame)

Design n Road (com.ltcdesign.nroad)

Draw Complete (com.ltcdraw.complete.fly)

Thief King (com.ltcking.thief.game.tsl)

Downhill Race (com.downhill.race.redbull)

Draw a War (com.draw.war.army)

Rescue Master (com.rescue.master.gear.mechanics.wushi)

Spin:Letter Roll (come.letter.roll.race)

Helicopter Attack - NEW (com.helicopter.attack.shoot.sanba)

Crush Car (com.crush.car.fly.delivery.lingjiu)

Relx cash (com.tycmrelx.cash)

War in Painting (com.painting.war.inpaper)

Bike Extreme Racing (com.bike.extreme.raceing.bikegames)

Player Spiral Maker 3D (com.player.spiral.maker.d3)

Match 3 Tiles (com.blocks.tile.matching)

2048 Merge Cube - Win Cash (com.cube.merge.shooter)

Les applications iOS associées à l'opération Scylla