Actualités Avast

Campagne HiddenAds sur Google Play Store, plus de 15 millions de téléchargements découverts par Avast

Avast Security News Team, 23 juin 2020

Les chercheurs d'Avast découvrent 47 applications sur le Google Play Store avec des publicités intrusives et des fonctionnalités furtives.

Les chercheurs d'Avast ont découvert une grande campagne de HiddenAds sur le Google Play Store. HiddenAds fait référence à une famille de chevaux de Troie qui se déguisent en applications sûres et utiles, mais ne servent en fait qu'à afficher des publicités intrusives à l'utilisateur. 

Les applications découvertes se masquent sous forme de jeux et disposent d'une fonction d'icône d'application masquée déclenchée par une minuterie ainsi que la possibilité d'afficher des annonces publicitares sur votre appareil. Les applications ont cumulé plus de 15 millions de téléchargements.

La détection initiale a été effectuée grâce à des similitudes avec une précédente campagne HiddenAds qui était également présente sur le Play Store. Après une analyse plus approfondie de l'application via apklab.io, les chercheurs d'Avast ont pu identifier une campagne plus large de 47 applications grâce à des activités, des fonctionnalités et un trafic réseau partagés. 

Il est devenu évident que ces applications perturbaient l'expérience utilisateur sur la base des critiques du Play Store. Ceci, combinés avec la capacité des applications à masquer leur icône et à afficher des publicités en dehors de l'application, a confirmé qu'elles faisaient partie de la famille des HiddenAds.

Des applications comme celles-ci sont considérées comme des logiciels publicitaires, un type de malware qui vous bombarde avec des publicités intrusives et cohérentes et peut voler vos informations personnelles, vous suivre en ligne et bien plus encore. 

Les caractéristiques à surveiller

La principale caractéristique partagée par ces applications est l'apparition d'un jeu sur mobile. Des recherches supplémentaires ont montré que les jeux sont généralement un reconditionnement d'une ancienne version du jeu avec des couches supplémentaires d'annonces et la capacité à masquer les icônes. Une fois que l'utilisateur a téléchargé l'application, une minuterie démarre dans celle-ci. L'utilisateur est autorisé à jouer au jeu pendant une période de temps définie, après quoi le chronomètre déclenche la fonction de masquage.

Une fois que l'icône est masquée, l'application commence à afficher des annonces sur l'ensemble de l'appareil sans nécessiter d'actions supplémentaires de la part de l'utilisateur. Les applications ont la possibilité d'apparaître sur d'autres applications pour afficher des publicités chronométrées qui ne peuvent pas être ignorées. Plusieurs applications ouvrent même le navigateur pour afficher des publicités intrusives.

En raison de l'icône masquée, l'utilisateur peut ne pas être sûr de l'origine des annonces. L'application peut toujours être désinstallée via les fonctionnalités du gestionnaire d'applications de l'appareil, mais oblige l'utilisateur à rechercher la source des annonces.

Un autre attribut partagé par ces applications est que le développeur n'a qu'une seule application sur son profil de développeur avec une adresse e-mail générique. De même, les conditions d'utilisation sont identiques pour toutes les applications découvertes, pointant probablement vers une campagne organisée par un acteur malveillant. 

Les critiques des applications font apparaître la frustration des utilisateurs qui les ont téléchargé :

La propagation

Les applications ont été téléchargées en tout plus de 15 millions de fois. Voici un tableau des applications les plus téléchargées :

 

Nom de l'application

Nombre de téléchargements

Draw Color by Number

1,000,000

Skate Board - New

1,000,000

Find Hidden Differences

1,000,000

Shoot Master

1,000,000

Spot Hidden Differences 

500,000

Dancing Run - Color Ball Run 

500,000

Find 5 Differences

500,000

Joy Woodworker

500,000

Throw Master

500,000

Throw into Space

500,000

Divide it - Cut & Slice Game

500,000

Tony Shoot - NEW 

500,000

Assassin Legend

500,000

Stacking Guys 

500,000

Save Your Boy 

500,000

Assassin Hunter 2020

500,000

Stealing Run

500,000

Fly Skater 2020

500,000

Disc Go!

500,000

Sur la base des recherches menées, il semble que la campagne ciblait initialement et principalement des utilisateurs en Inde et en Asie du Sud-Est. Les applications se sont probablement propagées via des annonces de jeux ciblées dans ces régions. En raison des détails génériques des développeurs et des conditions d'utilisation, les développeurs de la campagne HiddenAds restent inconnus.

Cela nous donne un aperçu de la propagation initiale et la prévalence actuelle de ces applications diffère. D'après les statistiques internes d'Avast, cette campagne HiddenAds est actuellement la plus répandue au Brésil, en Inde et en Turquie.

Répartition en pourcentage des utilisateurs d'Avast qui ont téléchargé au moins une des applications HiddenAds au cours des deux dernières semaines par pays :

Brésil : 21 % / Inde : 8.1 % / Turquie : 6.3 % / Argentine : 5.6 % / Mexique : 3.7 %

La propagation initiale dans d'autres régions, comme le montre la carte ci-dessus, est probablement un « dommage collatéral » causé par la présence des applications sur le Google Play Store. Au moment de la publication, Google a supprimé 30 du nombre total d'applications.

Pour éviter de télécharger des applications malveillantes dans le Google Play Store, assurez-vous de suivre ces 5 étapes :

  • Vérifiez soigneusement les autorisations demandées par l'application avant de l'installer. Si l'application demande des données dont elle n'a pas besoin, faites demi-tour.
  • Lisez la politique de confidentialité et les termes et conditions.
  • Lisez les avis des utilisateurs. S'il y a un grand nombre d'avis négatifs, reconsidérer le téléchargement de l'application.
  • Téléchargez une application antivirus sur votre appareil mobile comme Avast Mobile Security afin que les logiciels publicitaires et autres applications malveillantes soient identifiés et bloqués.