Étude des menaces

Des applications Android sur Google Play Store contiennent une mauvaise surprise

Threat Intelligence Team, 23 avril 2019

Des logiciels publicitaires agressifs dans des applications de musique, d'édition de photos, et de fitness ne veulent simplement pas disparaître, convainquant les utilisateurs d'installer plus d'applications.

En utilisant la plate-forme mobile contre les menaces d'Avast, apklab.io, nous avons découvert 50 applications de logiciels publicitaires sur la boutique Google Play Store. Ces applications ont été installées entre 5 mille et 5 millions de fois. Un logiciel publicitaire peut être très agaçant puisqu'il affiche constamment des publicités en plein écran et dans certains cas, essaye de convaincre l'utilisateur d'installer plus d'applications.

Les applications de logiciels publicitaires sont reliées entre elles par l'utilisation de bibliothèques Android tierces qui contournent les restrictions de service d'arrière-plan dont sont équipées les dernières versions d'Android. Bien que le contournement lui-même ne soit pas explicitement interdit sur le Play Store, Avast l'identifie en tant que Android:Agent-SEB [PPI], parce que les applications utilisant ces bibliothèques dépensent la batterie de l'utilisateur et ralentissent l'appareil. Les applications dans cet article ont utilisé les bibliothèques afin d'afficher toujours plus de publicités à l'utilisateur, ce qui va à l'encontre des règles Play Store.

Nous faisons référence aux logiciels publicitaires basés sur ces bibliothèques en employant le terme « TsSdk », car il a été découvert dans la première version du logiciel publicitaire. 

Selon une recherche d'Avast, le logiciel publicitaire a été installé 30 millions de fois avant d'être retiré du Google Play Store. Nous avons collaboré avec Google, et la totalité des échantillons ont été retirés du Play Store avant la publication de cet article.

À l'aide de apklab.io, nous avons jusqu'à présent découvert deux versions de TsSdk sur le Play Store, toutes reliées entre elles par le même code. Vous trouverez leurs descriptions ci-dessous, de la version la plus ancienne à la version la plus récente du logiciel publicitaire.

Version A

La version la plus ancienne de TsSdk, que nous appellerons « Version A », a été installée 3,6 millions de fois. Les applications contenant le logiciel publicitaire étaient de simples applications de jeux, de fitness, et d'édition de photos.

Version A a été installée le plus souvent en Inde, en Indonésie, aux Philippines, au Pakistan, au Bangladesh et au Népal.

Google Play

Ci-dessus, un exemple de l'une des applications contenant TsSdk.

Une fois installées, la plupart des applications contenant Version A semblent fonctionner comme annoncé sur leurs pages Google Play, mais elles sont accompagnées d'une mauvaise surprise :  des raccourcis vers les applications, ainsi que vers un centre de jeux sont ajoutés à l'écran d'accueil, et des publicités s'affichent en plein écran lorsque les utilisateurs allument leur écran. Dans certaines variantes de Version A, les publicités sont également affichées périodiquement lors de l'utilisation de l'appareil. Voici une vidéo en montrant un exemple.

Version A n'est pas très bien dissimulée et le SDK du logiciel publicitaire est facile à repérer dans le code. C'est aussi la moins répandue des deux versions. Certaines variantes de Version A contiennent également un code qui télécharge des applications supplémentaires, incitant l'utilisateur à les installer.

L'aspect le plus intéressant de Version A est que la plupart des échantillons ont aussi ajouté un raccourci vers un « Game Center » (Centre de jeux) sur l'écran d'accueil de l'appareil infecté, menant vers une page faisant la publicité de plusieurs jeux : http://h5games.top/.

Game Center

C'est intéressant car le nom « H5GameCenter » faisait également partie du logiciel malveillant préinstallé Cosiloon que nous avons signalé l'an dernier. Existe-t-il un lien quelconque entre les deux ? Nous n'en sommes pas sûrs. Il pourrait y avoir une relation entre les deux, ou bien les développeurs de Game Center ont acheté de la publicité dans Cosiloon et dans TsSdk.

Version B

La deuxième version la plus ancienne de TsSdk, que nous appellerons « Version B » a été installée près de 28 millions de fois. Le logiciel publicitaire était inclus dans des applications de fitness et de musique.

Version B a été installée le plus souvent aux Philippines, en Inde, en Indonésie, en Malaisie, au Brésil, au Népal, et au Royaume-Uni.

Il semblerait que les développeurs du logiciel publicitaire aient mis un peu plus d'efforts dans Version B, puisqu'elle semble plus récente et que son code est mieux protégé. Le code du logiciel publicitaire est chiffré à l'aide du conteneur Tencent, qui est assez difficile à décompresser pour les analystes, mais est facilement capturé au cours des analyses dynamiques dans apklab.io.

Nous n'avons pas réussi à faire afficher des publicités de Version B sur nos appareils parce qu'elle effectue plusieurs vérifications avant de mettre en place la fonctionnalité de publicités en plein écran. Tout d'abord, le logiciel publicitaire s'enclenche uniquement si l'utilisateur installe l'application en cliquant sur une publicité Facebook. L'application peut détecter cela en utilisant une fonction SDK de Facebook appelée « deep linking différé ».

Nous n'avons pas reçu les publicités sur Facebook, mais nous avons recherché les applications infectées sur le Play Store, donc nous n'avons pas eu les publicités.

private void deep codeFlytunesads

De plus, les publicités ne s'affichent qu'au cours des quatre premières heures suivant l'installation de l'application, puis beaucoup moins souvent. Grâce au code, nous savons qu'au cours des quatre premières heures, les publicités en plein écran s'affichent aléatoirement lorsque le téléphone est déverrouillé ou toutes les 15 minutes, à 15, 30 et 45 minutes après l'heure. Le dernier temps inclut dans le code est assez amusant, car apparemment chez le développeur, une heure contient au moins 61 minutes (il aurait fallu lire :00) :

public void on receive code-1

Version B ne semble pas fonctionner sur la version 8.0 d'Android et sur les versions suivantes à cause des modifications de gestion de service d'arrière-plan apportées dans ces nouvelles versions d'Android. Néanmoins, presque 80 % des appareils sont équipés de versions plus anciennes d'Android lors de la rédaction de cet article.

Bien que nous n'ayons pas réussi à déclencher les publicités sur nos appareils de test, le code est clairement configuré pour afficher des publicités intrusives et les critiques laissent peu de place à l'interprétation :

something wrong on comment-1

Quelque chose ne se passe pas comme prévu avec cette app, une bonne application que j'aimais auparavant mais que je ne trouve plus sur mon téléphone... mais quand je veux l'installer de nouveau, cela me montre uniquement la possibilité de l'installer, et je ne la trouve nullepart sur mon appareil.

Exemples

Dû au nombre d'exemples, nous avons uniquement sélectionné les derniers APK de chaque application et les avons rassemblés dans cette feuille de calcul.

Les captures d'écran de Google Play Store et des pages Facebook sont disponibles ici.

Veuillez noter que de nombreuses applications Version A étaient disponibles sur le Play Store auparavant, mais que Google les a retirées avant que nous ayons terminé nos recherches, dont Plus de 1 million d’installations de l'application Pro Piczoo.

Conseils pour éviter les logiciels publicitaires

  • Installez une application antivirus digne de confiance. Un antivirus fait office de filet de sécurité et peut vous protéger des logiciels publicitaires.
  • Soyez prudent lorsque vous téléchargez des applications. Lisez les critiques des applications avant d'installer une nouvelle application, et consultez attentivement les critiques positives et négatives. Soyez attentif aux utilisateurs qui commentent si l'application fournit ou non le service promis. Si une critique d'application déclare que « cette application ne tient pas ses promesses », ou que « cette application est accompagnée d'un logiciel publicitaire », alors réfléchissez-y à deux fois avant de télécharger l'application !  Les critiques de ce genre indiquent que quelque chose cloche.
  • Vérifiez toujours attentivement les autorisations des applications, et si elles ont du sens. Accorder des autorisations inadaptées peut envoyer des données sensibles aux cybercriminels, telles que des informations concernant les contacts enregistrés sur l'appareil, les fichiers multimédias et l'accès à des conversations personnelles. Si quelque chose vous semble anormal ou aller au-delà de ce qui semble approprié, alors vous ne devriez pas télécharger l'application.


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.