Malware : au lieu de baskets gratuites, des utilisateurs d’Android ont obtenu un malware
Image : White Ops, ZDNet
Google a retiré de son Play Store un certain nombre d’applications Android qui feraient partie d’un réseau de botnet frauduleux. Baptisé Terracotta, ce botnet a été découvert par l’équipe de sécurité mobile Satori de White Ops, une société de sécurité spécialisée dans l’identification du comportement des bots. Les chercheurs de White Ops suivaient Terracotta depuis fin 2019, date à laquelle le botnet semble avoir démarré son activité.
Des produits gratuits en guise de leurre
Selon les chercheurs, le modus operandi de Terracotta était de faire installer des applications du Google Play Store en promettant des cadeaux. En général, les applications “offraient” des baskets, des bottes, mais parfois aussi des tickets, des cartes-cadeaux ou même des soins dentaires coûteux. Pour obtenir leur cadeau, les utilisateurs devaient installer l’application puis attendre deux semaines pour sa réception, période pendant laquelle ils devaient laisser l’application installée sur leur smartphone.
Cependant, les applications en question téléchargeaient et exécutaient une version modifiée de WebView, une version allégée de Google Chrome. Le gang Terracotta lançait le navigateur WebView modifié, caché à la vue de l’utilisateur, et commettait une fraude publicitaire en chargeant des annonces et en tirant des revenus de fausses impressions publicitaires.
L’équipe de White Ops décrit Terracotta comme une opération à la fois complexe et massive. Complexe par son utilisation de techniques avancées pour éviter d’être détecté, et massive en raison de son échelle de diffusion. A titre d’exemple, White Ops précise qu’au cours de la seule dernière semaine de juin, le botnet Terracotta a chargé silencieusement plus de deux milliards de publicités, dans 65 000 smartphones infectés.
Une fraude qui affecte aussi les utilisateurs
Actuellement, après intervention de Google, la présence du botnet sur le Play Store a été réduite, mais pas totalement supprimée, certains appareils semblant toujours être infectés.
<
p align=”center”>
Volume des demandes d’offres suite à l’intervention sur le Play Store. Image : White Ops.
On pourrait penser que, parce que ces applications visent les réseaux publicitaires et non les utilisateurs directement, ces derniers ne sont pas concernés par le problème. Mais, sur les appareils infectés, les applications fonctionnant 24 heures sur 24, elles consomment énormément de batterie et de bande passante.
Google a agi rapidement
Malheureusement, White Ops n’a pas publié de liste des applications infectées par le virus Terracotta. Toutefois, la bonne nouvelle est que lorsque Google supprime les applications malveillantes du Play Store, elle les désactive également sur tous les appareils des utilisateurs, ce qui met fin à leur comportement malveillant.
« Grâce à notre collaboration avec de White Ops, qui enquête sur l’opération de fraude publicitaire TERRACOTTA, et leurs conclusions critiques, nous avons pu relier l’affaire à un ensemble d’applications mobiles déjà trouvées et identifier d’autres applications malveillantes. Ce qui nous a permis d’agir rapidement pour protéger les utilisateurs, les annonceurs et l’écosystème au sens large. Lorsque nous constatons des violations de notre politique, nous prenons des mesures », a déclaré un porte-parole de Google.
Pour les chercheurs en sécurité, les développeurs d’applications Android et les ingénieurs logiciels, White Ops a publié un rapport technique approfondi détaillant le fonctionnement interne de Terracotta.
Source : ZDNet.com
