Les chercheurs d'ESET ont mis au jour sur Google Play une campagne adware annuelle qui compte déjà huit millions d'installations : « Android/AdDisplay.Ashas ». L'équipe de chercheurs est parvenue à localiser le développeur de ce malware et a découvert d'autres applications vérolées.
« Nous avons identifié 42 applications sur Google Play qui font partie de cette campagne adware. Parmi elles, 21 étaient encore disponibles au moment de la découverte de l'adware. L'équipe de sécurité Google les a toutes supprimées, sur la base de notre rapport. Malheureusement, elles sont encore disponibles dans les boutiques d'applications tierces », indique Lukáš Štefanko, chercheur spécialiste des malwares chez ESET.
Les applications vérolées fonctionnent normalement (téléchargement de vidéos, jeu, radio, etc.), mais elles agissent en plus comme des adwares. « La fonction de l'adware est la même dans toutes les applications que nous avons analysées », explique M. Štefanko.
Les applications ont recours à plusieurs méthodes pour infecter les appareils des utilisateurs et éviter d'être détectées. Par exemple, elles vérifient le mécanisme de test de sécurité de Google Play, elles retardent l'affichage des publicités pour que celles-ci n'apparaissent que bien après le déverrouillage de l'appareil ou elles masquent leurs icônes et créent des raccourcis à la place.
Les publicités de l'adware s'affichent comme des activités en plein écran. Si l'utilisateur recherche l'application responsable de la publicité qui s'affiche sur son écran, l'application se fait passer pour Facebook ou Google. « L'adware imite ces deux applications pour donner l'impression d'être légitime et éviter toute suspicion. Ainsi, il peut rester plus longtemps sur l'appareil infecté », explique M. Štefanko.
Autre fait intéressant : la famille d'adwares Ashas a dissimulé son code sous le nom de package com.google.xxx. « En s'assimilant à un service Google légitime, l'adware évite un examen trop approfondi. Certains mécanismes de détection et sandboxes peuvent ajouter les packages portant ce type de nom à leur liste blanche afin d'éviter le gaspillage de leurs ressources », poursuit M. Štefanko.
En analysant les applications, les chercheurs d'ESET ont détecté plusieurs traces laissées par le développeur malintentionné. À l'aide de données Open Source, ils sont parvenus à l'identifier et se sont aperçus qu'il était également à l'origine de la campagne et qu'il possédait le serveur C&C. M. Štefanko précise que « c'est la recherche d'autres malwares et campagnes qui a mené à l'identification du développeur ».
Même si les adwares ne causent pas autant de dommages que d'autres types de malwares, il est inquiétant de constater avec quelle aisance ils se glissent dans la boutique d'applications officielle d'Android. « Pour protéger leurs appareils, les utilisateurs peuvent appliquer quelques principes de cybersécurité de base et se doter d'une solution de sécurité de qualité », conseille M. Štefanko.
Pour en savoir plus, lisez l'article « Tracking down the developer of Android adware affecting millions of users » de Lukáš Štefanko sur WeLiveSecurity.com.
CONTACT PRESSE
Darina SANTAMARIA 06 61 08 42 45 - darina.j@eset-nod32.fr