De fausses applications livrées avec un adware dans Google Play

Les adwares, ou publiciels, sont des logiciels publicitaires qui n’ont rien de nouveau et ne disparaîtront pas de sitôt, étant un moyen légitime pour les développeurs d’applications de générer des revenus. Sur Android, «à la limite de la légitimité» est le gimmick couramment utilisé par certains développeurs pour introduire clandestinement des applications apparemment légitimes sur des boutiques officielles, comme Google Play.
Bien que l’affichage de publicités ne soit pas considéré comme malveillant en soi, lorsque le programme s’efforce de cacher sa présence sur votre appareil, puis diffuse des annonces en plein écran, même lorsque vous n’êtes pas dans l’application, les adwares deviennent une véritable nuisance difficile à désinstaller qui gâche l’expérience utilisateur de votre système Android.
Les chercheurs de Bitdefender ont récemment découvert trois nouvelles applications dans Google Play qui semblent se comporter comme des chevaux de Troie ou des logiciels espions, en ce qu’elles se cachent dans les appareils, tout en se limitant à afficher des annonces publicitaires en plein écran toutes les 15 minutes.
 
Trois petites applis clandestines
 
Les trois applications Android (com.colors.drawing.coloring, hd4k.wallpapers.backgrounds et launcher.call.recorder) semblent avoir été signalées comme malveillantes début mai 2019, bien qu’elles aient été présentes dans Google Play depuis au moins trois mois auparavant. Chacune d’elles semble avoir accumulé plus de 10 000 téléchargements, selon les statistiques publiées sur leurs pages officielles (désormais hors ligne).
Bien que ces statistiques ne signifient pas nécessairement que les applications se soient comportées de manière illicite dès leur arrivée sur la boutique officielle, cela laisse à penser qu’à un moment donné, elles ont été mises à jour avec de nouvelles fonctionnalités “limite” qui ont passé le système de validation des applications de Google.
Contrairement à d’autres applications qui ne font qu’afficher de la publicité agressive, ces trois applications intègrent des fonctionnalités à part entière – indiquant qu’elles étaient tout à fait légitimes lorsqu’elles furent soumises à validation – à condition que lors de leur premier lancement, elles ne détectent pas de connexion Internet active.
Lorsque les applications sont installées pour la première fois, elles définissent leur icône de paramètres sur le logo Google Play, tout en modifiant le nom de leurs paramètres sur Google Play Store, ce qui complique potentiellement la tâche des utilisateurs non formés et peu férus de technologie pour repérer les applications et les désinstaller. Il s’agit d’une pratique courante pour les applications “à la frontière de la légalité” qui cherchent à assurer leur persistance sur l’appareil, en utilisant des noms et des icônes généralement associés à des processus et des applications légitimes afin de dissuader les utilisations de les supprimer.
 
 
Bien qu’étrange pour une application Google Play, le fait qu’elle fonctionne normalement s’il n’y a pas de connexion Internet lors de la première exécution peut indiquer que le développeur souhaite au moins utiliser les fonctionnalités des applications pour les utilisateurs non connectés. Un utilisateur sans connexion Internet ne peut pas être monétisé par le biais de la publicité. Par conséquent, la victime peut avoir l’esprit tranquille.
Toutefois, si l’application se connecte à Internet, son icône sera masquée et se fermera au bout de 5 secondes en affichant le message «Désinstallation terminée.» Ou «Cette application est incompatible avec votre appareil !». Dans le même temps, la boutique Google Play sera ouverte sur la page d’une application déjà installée sur l’appareil, telle que Google Maps, afin de semer le doute chez la victime.
 

 
L’application déclenchera également une sorte d’alarme interne avec un délai de 15 minutes et une autre avec un délai de 24 heures. À partir de ce moment, elle se remplacera toutes les 15 minutes, garantissant ainsi que les publicités sont constamment affichées sur l’appareil de la victime, en s’assurant que le code de référence n’est ni perdu ni effacé – et se replanifie elle-même une fois toutes les 24 heures.
La plupart des publicités impliquent des applications et jeux faisant partie du service de référence auquel le développeur est abonné, ce qui incite les utilisateurs à les installer.
 

 
Bien que les trois applications aient été publiées sous différents noms de développeurs, il est plausible qu’elles soient l’ensemble du travail du même codeur, en particulier parce qu’elles partagent des similitudes frappantes dans leur mode de fonctionnement et les méthodes utilisées pour masquer leur présence sur l’appareil.
Même si les applications ont été mises hors service et le(s) développeur(s) ne semble(nt) pas encore avoir posté d’autre élément, il est probable que d’autres applications similaires finiront par se retrouver dans Google Play.
 
Rester en sécurité
 
Pour rester à l’abri des applications, même louches téléchargées depuis des boutiques officielles, vous devez avoir une solution de sécurité mobile permettant de détecter et d’empêcher l’installation de telles applications sur vos appareils. Il est également sage de lire les avis pour savoir si certains utilisateurs ont remarqué des problèmes. En outre, le signalement de toute application affichant un comportement suspect pourrait être considéré comme la meilleure pratique.
Une solution de sécurité mobile complète peut vous protéger avec efficacité contre les applications malveillantes installées à partir de boutiques tierces et contre les sites frauduleux ou de hameçonnage.