Google nukes 224 Android malware apps behind massive ad fraud campaign

Opération “SlopAds” : Fraude Publicitaire Massives sur Android Neutralisée

Une vaste campagne de fraude publicitaire sur Android, baptisée “SlopAds”, a été démantelée suite à la découverte de 224 applications malveillantes sur le Google Play Store. Ces applications généraient quotidiennement 2,3 milliards de requêtes publicitaires frauduleuses. La campagne, identifiée par l’équipe Satori Threat Intelligence de HUMAN, avait infecté les appareils de plus de 38 millions d’utilisateurs répartis dans 228 pays.

L’opération utilisait des techniques d’obfuscation et de stéganographie pour dissimuler son activité malveillante aux systèmes de sécurité de Google. Les applications se comportaient normalement si elles étaient téléchargées de manière organique. Cependant, si l’installation était le résultat d’une campagne publicitaire contrôlée par les attaquants, l’application téléchargeait un module malveillant via Firebase Remote Config. Ce module utilisait ensuite des techniques d’évasion, notamment la stéganographie pour cacher des parties du code dans des images PNG, afin de télécharger le composant principal de la fraude, “FatModule”.

Ce “FatModule” utilisait des WebViews cachées pour collecter des informations sur l’appareil et le navigateur, puis accédait à des domaines de fraude publicitaire contrôlés par les attaquants. Ces domaines se faisaient passer pour des sites de jeux ou d’actualités afin de diffuser continuellement des publicités, générant ainsi des revenus frauduleux.

Points Clés :

• Nature de la menace : Opération de fraude publicitaire (“ad fraud”) à grande échelle.
• Nom de code : “SlopAds”.
• Plateforme affectée : Android.
• Nombre d’applications : 224 retirées du Google Play Store.
• Impact : 2,3 milliards de requêtes publicitaires frauduleuses par jour.
• Portée géographique : 228 pays, avec une forte concentration aux États-Unis (30%).
• Techniques utilisées : Obfuscation, stéganographie (pour cacher le code malveillant dans des images), Firebase Remote Config, WebViews cachées, évasion des analyses de sécurité.
• Composant malveillant principal : “FatModule”.

Vulnérabilités :

Aucune vulnérabilité spécifique (identifiée par un CVE) n’est explicitement mentionnée dans le texte concernant les applications elles-mêmes. La menace réside dans le code malveillant intégré à ces applications et les techniques d’évasion utilisées pour contourner les mécanismes de sécurité standards.

Recommandations :

• Suppression des applications : Google a retiré les applications infectées du Play Store. L’outil Google Play Protect a été mis à jour pour avertir les utilisateurs de désinstaller ces applications si elles sont présentes sur leur appareil.
• Adaptabilité des acteurs : Les chercheurs alertent que la sophistication de cette campagne suggère que les acteurs de la menace adapteront leurs méthodes pour de futures tentatives. Il est donc crucial de rester vigilant.

Source