250 applications Play Store vérolées par des « jumelles maléfiques »

Fiabilité
À RETENIR

  • 250 applications Play Store touchées par des applications frauduleuses, dont de nombreux jeux comme « Tunnel Game » et « Zombie Apocalypse ».
  • Les pirates ont utilisé la plateforme russe Caramel Ads pour monétiser le trafic.
  • Jusqu’à 10 milliards de requêtes publicitaires frauduleuses par jour.

Plus de 250 applications sur Play Store ont été utilisées par des hackers pour générer des revenus publicitaires substantiels (les chiffres n’ont pas été communiqués). Alors que le Play Store est une plateforme numérique qui permet aux utilisateurs sur Android de télécharger et d’installer une application mobile, cette campagne publicitaire frauduleuse risque de nuire à sa réputation. Découvrez tous les détails sur l’attaque « Konfety » et les principaux risques pour les utilisateurs de ces applications.

Konfety : la campagne publicitaire frauduleuse qui a pollué Play Store

Dans un communiqué de presse publié le 16 juillet 2024 sur le site Human Security (lien en fin d’article), l’équipe Satori, en charge de l’identification des menaces dans le domaine de la sécurité informatique, a identifié que plus de 250 applications hébergées sur Play Store étaient touchées par des applications frauduleuses (des applications dites “jumelles malveillantes” ou “evil twins” dont nous expliquons le principe plus bas). Connu sous le nom de « Konfety », un mot russe qui signifie “bonbon” en français, cette vaste fraude publicitaire pourrait bien être l’une des plus massives de toute l’histoire de l’informatique avec des pics à plus de 10 milliards de requêtes publicitaires quotidiennes.

Les pirates informatiques du « groupe Konfety » auraient utilisé le kit de développement logiciel (SDK) mis en place par Caramel Ads, une plateforme publicitaire fondée en 2018 en Russie. Le SDK a été utilisé pour afficher des publicités intempestives et exploiter les mobiles des victimes dans le but de générer des revenus publicitaires massifs.

Bien que ce kit ne soit pas malveillant, il a été exploité à mauvais escient par des pirates informatiques pour monétiser des applications malveillantes et « charger des fichiers de paquets Android (APK) supplémentaires et communiquer avec des serveurs de commande et de contrôle (C2) ».

Chaque application a été téléchargée plus de 10 000 fois en moyenne d’après le rapport de sécurité. Plusieurs millions d’utilisateurs sont donc susceptibles d’avoir été touchés par cette vaste affaire et cela rappelle à quel point il est essentiel d’utiliser le meilleur antivirus du marché. Les applications jumelles malveillantes ont toutes été distribuées en dehors du Google Play Store.

On ignore le montant de recettes publicitaires générées par les hackers, car aucune somme n’a été divulgué par l’équipe chargée de la sécurité informatique. En développant ce réseau, les hackers peuvent potentiellement afficher des publicités intempestives sur les mobiles des victimes ou bien encore commander à distance (et de façon automatique) des clics sur des publicités. Il est très vraisemblable qu’au vu du nombre astronomique des requêtes publicitaires, le montant dérobé par les hackers approche la barre des centaines de millions d’euros.

En quoi consiste la technique des « Evil Twins » en informatique ?

La technique des « Evil Twins », des applications jumelles malveillantes, désigne une nouvelle forme de fraude dans le domaine informatique pour générer des revenus publicitaires frauduleux. Des pirates créent une application malveillante (jumelle) qui va se comporter comme une application authentique en imitant tous ses aspects : icône, description, nom de l’application, interface utilisateur ainsi que le nom des développeurs. L’objectif étant d’empêcher les utilisateurs de Play Store de comprendre qu’ils font face à une supercherie.

Une fois que l’application malveillante a été installée sur le mobile de la victime, l’application se fait passer pour l’application authentique en usurpant l’identifiant de l’application (app ID) et les identifiants de l’éditeur publicitaire. Elle utilise l’adresse IP et la connexion Internet de son hôte pour cliquer massivement sur des publicités, afin de générer des revenus publicitaires pour les pirates informatiques. Il est très difficile pour un réseau publicitaire de détecter ce genre d’activité dans la mesure où le bot simule les interactions humaines avec une très grande efficacité.

Plus le réseau comporte un nombre important d’utilisateurs et plus les revenus publicitaires générés par les utilisateurs sont également importants. En règle générale, les pirates informatiques exploitent la connexion Internet des utilisateurs du réseau afin de pirater d’autres sites Internet (comme des sites WordPress) afin de contribuer à une diffusion beaucoup plus large des applications malveillantes.

D’autres techniques sont utilisées par les pirates pour promouvoir les applications malveillantes : avis falsifiés, SPAM sur les blogs dans les commentaires ou les forums de discussion et même emailing !

Quels risques pour les utilisateurs ?

Les applications authentiques ne comportent pas de risques particuliers pour les utilisateurs, selon le rapport des experts en sécurité, mais les applications jumelles peuvent comporter de nombreux risques pour les utilisateurs, tels que :

  • Risque de fraude publicitaire massive : les annonceurs publicitaires sont les premiers à payer les pots cassés. Les pirates mettent en place des scripts destinés à simuler une activité humaine, ce qui peut déboucher sur une perte d’efficacité au niveau marketing.
  • Installation (sans son propre consentement) d’une extension (potentiellement malveillante) sur son navigateur Web.
  • Les applications peuvent surveiller vos recherches sur les moteurs, alors n’hésitez pas à vous renseigner pour savoir si votre téléphone est espionné.
  • Installation de codes malveillants à distance, pouvant déboucher sur l’installation d’applications malveillantes supplémentaires avec un risque de vol de données personnelles ou un piratage de compte bancaire.

Les 250 applications authentiques utilisaient le SDK fourni par CaramelAds et semblent être des jeux génériques basés sur des templates prédéfinis. On peut citer notamment quelques jeux comme :

  • Tunnel Game,
  • Zombie Apocalypse
  • ou encore Impossible Track Speed Bump.

Il est bien évidemment indispensable de supprimer les applications concernées. Google recommande à ses utilisateurs d’activer Google Protect et d’éviter de télécharger / installer des applications sur des plateformes externes. Un avertissement a été publié par Google Protect et l’équipe a procédé à la désactivation automatique des applications concernées.

Il faut savoir que cette campagne publicitaire frauduleuse massive n’est pas la seule dans l’histoire de Google Play Store, qui est souvent pointé du doigt pour ses règles de validation des applications considérées comme trop laxistes et facilement “détournables” par des hackers. Une étude publiée en août 2023 par les chercheurs de l’antivirus McAfee (lien ci-dessous) avait découvert que 43 applications Play Store chargeaient des publicités en arrière-plan lorsque l’écran des utilisateurs était éteint.

Articles Liés

Alexandre Robert
Administrateur de Techopedia France

L'écriture sous toutes ces formes, voici ce qui dirige une partie de ma vie et de mon travail ! A commencer par mes études, à l'EJCAM (Ecole de Journalisme et de Communication d'Aix-Marseille), pour ensuite avoir la chance d'exercer mon métier durant plus de 3 ans au sein de la Presse Quotidienne Régionale des Bouches du Rhône : La Provence et La Marseillaise. Pour compléter mon apprentissage éditorial, c'est vers le web que je me suis par la suite tourné, où j'ai eu la chance de poser mes mots sur les sites de Superprof, Food Spring, Decathlon et bien d'autres…