Chercheurs de sécurité à Point de contrôle ont découvert un nouveau malware appelé « Judy » qui infecte maintenant des millions de smartphones Android dans le monde. Selon eux, il s'agit probablement de la plus grande campagne de logiciels malveillants sur Google Play Store qui a déjà infecté environ 36.5 millions d'appareils Android.
Qu'est-ce que Judy ?
Selon l'article de blog publié jeudi par Checkpoint, Judy est un logiciel publicitaire utilisé pour générer des clics frauduleux sur des publicités afin de générer des revenus. Il génère de faux clics sur les appareils concernés et près de 41 applications diffusent ce malware.
« Le malware, surnommé « Judy », est un logiciel publicitaire à clic automatique qui a été trouvé sur 41 applications développées par une société coréenne. Le logiciel malveillant utilise des appareils infectés pour générer de grandes quantités de clics frauduleux sur les publicités, générant des revenus pour les auteurs qui se cachent derrière.
Dans quelle mesure s'est-il répandu?
Selon l'article de blog de Checkpoint, le malware devrait être téléchargé sur environ 18.5 millions d'appareils et jusqu'à 36.5 millions d'appareils pourraient en être affectés. Certaines de ces applications sont sur le Google Play Store depuis longtemps.
En outre, les chercheurs ont trouvé quelques autres applications contenant le même malware, qui ont été développées par d'autres développeurs sur Google Play. Le lien entre les deux campagnes reste incertain, bien que les chercheurs pensent qu'il est possible qu'un développeur ait emprunté du code à l'autre, "sciemment ou non".
Comment fonctionne le Malware ?
Les applications frauduleuses agissent comme des ponts pour connecter l'appareil de l'utilisateur au serveur de logiciels publicitaires. Une fois la connexion établie, le malware s'imite comme un navigateur PC pour ouvrir une page et générer des clics.
"Pour contourner Bouncer, la protection de Google Play, les pirates créent une application tête de pont apparemment bénigne, destinée à établir une connexion avec l'appareil de la victime et à l'insérer dans l'App Store."
Une fois qu'un utilisateur télécharge une application malveillante, il enregistre silencieusement l'appareil de l'utilisateur sur un serveur de commande et de contrôle distant, et en réponse, il reçoit la charge utile malveillante réelle contenant un code JavaScript qui démarre le processus malveillant réel.
« Le malware ouvre les URL à l'aide de l'agent utilisateur qui imite un navigateur PC dans une page Web cachée et reçoit une redirection vers un autre site Web. Une fois le site Web ciblé lancé, le malware utilise le code JavaScript pour localiser et cliquer sur les bannières de l'infrastructure publicitaire de Google », disent les chercheurs.
En cliquant sur les publicités, l'auteur du malware reçoit un paiement du développeur du site Web, qui paie pour les clics et le trafic illégitimes.
Qui se cache derrière Judy ?
« Les applications malveillantes sont toutes développées par une société coréenne nommée Kiniwini, enregistrée sur Google Play sous le nom d'ENISTUDIO corp. La société développe des applications mobiles pour les plateformes Android et iOS. Il est assez inhabituel de trouver une véritable organisation derrière les logiciels malveillants mobiles, car la plupart d'entre eux sont développés par des acteurs purement malveillants.
Comment s'assurer que vous êtes en sécurité?
Après que Check Point ait informé Google de cette menace, Google a supprimé les applications malveillantes du Play Store et mis à jour la protection Bouncer. Mais juste pour être sûr, vous pouvez consulter la liste des applications malveillantes publiée par la société de recherche en sécurité. Et si l'un de ces éléments est installé sur votre appareil, supprimez-le immédiatement.
Plus tôt ce mois-ci, un ransomware appelé WannaCry a fait des ravages dans plus de 100 pays, touchant plus de 200,000 XNUMX ordinateurs dans des pays, dont la Russie et le Royaume-Uni. Et maintenant, ce malware Judy a fait son apparition dans le monde des smartphones Android. Voyant que le malware a même contourné la protection de Google Play, il semble que les utilisateurs ne puissent même pas compter sur les magasins d'applications officiels pour leur sécurité.