Android est le système d’exploitation le plus utilisé sur mobile. Aussi, comme Windows sur PC, il est la cible préférée des cybercriminels qui utilisent des méthodes assez rusées pour tromper la vigilance des utilisateurs. L’une des astuces utilisées par les cybercriminels consiste à dissimuler des logiciels publicitaires (adwares) sous forme d'applications plus ou moins attrayantes.
La publicité devrait être utilisée pour inciter le consommateur à s’intéresser à une offre ou concrétiser un achat. Mais bien souvent, on se rend compte que certains développeurs en abusent, ce qui a poussé Google en décembre 2017 à revoir sa politique développeur et changer les règles encadrant la publicité sur Android.
Des chercheurs de Trend Micro ont étudié plusieurs applications présentes sur Google Play Store et ont découvert une famille d'adwares actifs dissimulés sous la forme de 85 applications de simulateur de jeu, de télévision et de contrôle à distance. Ce logiciel publicitaire est capable d'afficher des publicités en plein écran, de se cacher, de surveiller la fonctionnalité de déverrouillage de l'écran d'un périphérique et de s'exécuter en arrière-plan du périphérique mobile.
Après vérification du rapport fourni par Trend Micro, Google a procédé à la suppression des 85 applications du Play Store bien que ces dernières avaient déjà été téléchargées 9 millions de fois. La plus téléchargée de toutes ces applications était celle nommée Easy Universal TV Remote, elle était supposée permettre aux utilisateurs d'utiliser leur smartphone pour contrôler leur téléviseur. Elle a été téléchargée plus de 5 millions de fois et a essuyé plusieurs plaintes des utilisateurs qui dénonçaient l'affichage intempestif des fenêtres publicitaires.
Les chercheurs de Trend Micro ont testé chacune de ces applications et ont découvert que bien qu'elles proviennent de différents fabricants et possèdent des clés publiques certifiées différentes, elles présentent des comportements similaires et partagent le même code.
Parmi les similitudes observées, on peut citer :
- une fois l'adware téléchargé et lancé sur un appareil mobile, une publicité en plein écran apparaît initialement;
- à la fermeture de la première annonce, des boutons tels que Démarrer, Ouvrir l’application ou Suivant, ainsi qu’une bannière publicitaire, apparaîtront sur l’écran de l’appareil mobile;
- une fois que l'utilisateur a quitté la publicité en plein écran, d'autres boutons offrant aux utilisateurs des options liées aux applications apparaissent à l'écran. Il invite également l'utilisateur à attribuer à l'application une note de 5 étoiles sur Google Play Store. Si l'utilisateur clique sur l'un des boutons, une annonce en plein écran apparaîtra à nouveau;
- ensuite, l'application informe l'utilisateur qu'elle est en train de charger ou de mettre en mémoire tampon. Cependant, au bout de quelques secondes, l'application disparaît de l'écran de l'utilisateur et cache son icône sur l'appareil.
La fausse application fonctionne toujours dans l'arrière-plan d'un appareil après s'être cachée. Bien que cachée, elle est configurée pour afficher une annonce en plein écran toutes les 15 ou 30 minutes sur le périphérique de l'utilisateur.
Certaines des fausses applications présentent un autre type de comportement d'affichage d'annonce qui surveille l'action de déverrouillage de l'écran de l'utilisateur et affiche une annonce à chaque fois que l'utilisateur déverrouille l'écran du périphérique mobile. Un module récepteur s'enregistre dans le fichier AndroidManifest.xml de manière à ce que chaque fois qu'un utilisateur déverrouille l'appareil, une annonce s'affiche en plein écran.
Source:Afrik.com
