Google supprime 224 applications Android utilisées dans la campagne de fraude des Sunsads - comment rester en sécurité

Des chercheurs en sécurité ont découvert Slows, une grande campagne publicitaire, et Google a supprimé 224 applications associées du Play Store. Les applications ont été téléchargées environ 38 millions de fois dans le monde et ont généré des milliards de fausses demandes d’annonces, de sorte que de nombreux utilisateurs peuvent avoir été exposés. Si vous pensez que vous en avez installé un, ce guide explique les étapes immédiates pour protéger votre appareil.

Qu’est-ce que la campagne publicitaire sur la fraude des Slonats

L’équipe de renseignement et de recherche sur les menaces de l’homme a découvert une campagne de fraude publicitaire de masse affectant les personnes du monde entier. Jusqu’à présent, 224 applications ont été découvertes et supprimées (les chiffres sont toujours en croissance), composé principalement d’applications utilitaires, d’outils d’IA et de certains jeux. Ces applications ont amassé plus de 38 millions de téléchargements et généré plus de 2,3 milliards de demandes d’offres publicitaires par jour.

Alors, comment une telle campagne de fraude publicitaire a-t-elle été exécutée sur le Play Store officiel? Vous trouverez ci-dessous une ventilation complète des tactiques intelligentes qu’ils ont utilisées pour éviter la détection et diffuser des publicités.

Les applications ont des fonctions normales comme n’importe quelle autre application, mais elles ont un système de vérification pour confirmer si l’utilisateur a téléchargé l’application directement depuis le Play Store ou a ouvert une annonce pour que l’application la télécharge. Éviter les téléchargements directs lui permet de contourner les avis manuels par la sécurité des Play Store ou des chercheurs en sécurité indépendants qui téléchargeraient généralement l’application directement.
Si une installation est confirmée comme provenant de l’une de leurs campagnes publicitaires, l’application contactera le serveur C2 pour télécharger des images infectées par une charge utile (comme l’attaque de filefix). Les images sont moins suspectes, ils passent donc la plupart des téléphones et de la sécurité de Google Play Store.
Le code dans les images est ensuite déchiffré et réassemblé dans un module malveillant (surnommé la module fatal dans les rapports). Ce module rassemble des informations sur le périphérique / navigateur et crée des eaux Web cachées qui ne peuvent pas être vues par les utilisateurs. Ces sites Web hébergent des sites HTML5 avec de nombreuses annonces pour générer des impressions. Il existe également du code d’automatisation pour appuyer sur les annonces à intervalles spécifiques.

Cela a permis à la campagne Slogns de générer des milliards d’impressions publicitaires par jour sans que Google ou les utilisateurs infectés le découvrent jusqu’à présent.

Comment vérifier si votre téléphone est infecté

Bien que les annonces soient invisibles, il existe encore des moyens de confirmer si votre téléphone a été infecté. Ci-dessous, vous trouverez des méthodes et des signes qui peuvent aider à confirmer l’infection des Slocks:

Vérifiez la liste officielle des applications supprimées: Human a publié la liste des applications infectées qui ont été supprimées par Google. Bien qu’il n’inclut pas encore les applications à découvrir, vous pouvez toujours confirmer si l’une de ces applications est sur votre téléphone ou non.
Égard élevé de la batterie: Un signe commun d’activité cachée est une vidange soudaine de la batterie sur Android. Si vous remarquez que votre batterie tombe soudainement trop vite, allez à Paramètres → Batterie et voyez quelles applications consomment la batterie. Si vous voyez une application qui consomme trop de batterie sans activité de premier plan, elle pourrait exécuter des annonces.

Actions inattendues au téléphone: Alors que les annonces fonctionnent de manière invisible, ils peuvent toujours lancer des actions inattendues lors de l’ouverture. Si vous remarquez des invites inattendues pour installer une application ou des pages Web inconnus qui s’ouvrira, ce pourrait être le travail de Slocks.

Nettoyez votre téléphone à partir de l’infection

Si vous remarquez des signes d’infection, suivez les étapes de nettoyage ci-dessous pour vous débarrasser de l’application infectée:

Exécutez Google Play Protect Scan: Comme Google supprime ces applications, il met également à jour Play Protect pour identifier ces applications et informer les utilisateurs. Si vous n’avez pas déjà reçu de notification, ouvrez le Google Play Store, appuyez sur votre profil et sélectionnez Jouer à la protection → Balayage Pour scanner votre appareil. Il analysera et supprimera automatiquement les applications infectées.

Révoquer les autorisations sensibles: Ces applications peuvent également utiliser des autorisations sensibles pour prendre plus de contrôle, comme éviter une désinstallation ou effectuer des actions plus complexes. Aller à Paramètres → Protection de la vie privée → Autorisation spéciale et révoquer les autorisations sensibles des applications auxquelles vous ne faites pas confiance. Dans les paramètres, vous devriez également aller à Accessoirey → Applications installées Pour s’assurer que les applications non fiables n’ont pas d’autorisation de service d’accessibilité.

Liste des autorisations spéciales sur Android

Réinitialiser l’ID de publicité: L’ouverture des annonces aléatoires peut avoir influencé négativement votre identifiant publicitaire, conduisant à des publicités non liées et éventuellement offensives sur des applications et des sites Web. Réinitialisez votre identifiant publicitaire afin qu’un nouveau profil puisse être créé. Dans les paramètres, allez à Google → Publicités et appuyez sur Réinitialiser l’ID de publicité pour le réinitialiser.

Paramètres Google ADS affichant les options de réinitialisation

Protégez votre téléphone contre les infections futures

Les rapports suggèrent que ce n’est pas la fin de la campagne Slogns, et cela pourrait revenir car il existe encore de nombreux domaines actifs associés à l’attaque. Vous pouvez suivre les conseils ci-dessous pour résister à ces attaques à l’avenir:

Vérifiez les avis avant d’installer une application: Lorsque les gens désinstallent une application en raison d’une activité malveillante, ils laissent souvent un examen en faisant savoir aux autres. Revues de filtre par catégorie critique. Si vous voyez plusieurs avis sur une augmentation des publicités ou d’autres activités malveillantes, restez à l’écart de ces applications.
Fournir soigneusement les autorisations: Comparez les autorisations qu’une application demande avec sa fonction. Par exemple, pourquoi une application de calculatrice aura-t-elle besoin d’autorisations de microphone, ou une application de chatbot AI demanderait-elle l’autorisation de l’administrateur de périphérique? Si une application demande des autorisations inutiles, évitez-la.
Vérifiez l’utilisation des données de l’application: Les annonces consomment beaucoup de ressources réseau. Vous devez vérifier l’utilisation des données de vos applications de temps à autre pour vous assurer qu’aucune application n’utilise des données excessives en arrière-plan alors qu’elles ne devraient pas. Dans les paramètres, allez à Connexion et partage (ou Connectivité) et appuyez sur Utilisation des données Pour voir l’utilisation des données de toutes les applications au fil du temps.

Statistiques d'utilisation des données des applications Android

Vous devez également garder un œil sur les applications que vous avez téléchargées en ouvrant des annonces, car ces applications activent principalement cette fraude publicitaire. Pour une meilleure sécurité, assurez-vous d’activer ces fonctionnalités de sécurité Android.

Gentil Geek

Passionné d'informatique depuis ma plus tendre enfance aujourd'hui j'en ai fait mon métier. A vos côtés pour simplifier votre utilisation de l'informatique et vous permettre de gagner en compétences.