GhostClicker : 340 applications du Play Store infectées par un malware qui clique sur toutes les pubs

Maj. le 23 août 2017 à 10 h 28 min

Les chercheurs de Trend Micro ont découvert que les développeurs de l’adware GhostClicker sont parvenus à injecter leur logiciel malveillant dans plus de 340 applications Android du Google Play Store. Plus d’une centaine d’entre elles sont toujours présentes dans la boutique d’applications officielle de Google.

ghostclicker malware clique toutes pubs play store

Par le passé, de nombreuses familles d’adwares ont réussi à infecter le Google Play Store : Chamois, FalseGuide, HummingBad, Viking Horde, DressCode, Calljam, ou encore Skinner pour ne citer que les plus plus connues.

Les développeurs de ces logiciels malveillants exploitent les faiblesses de sécurité du Google Play Store afin de contaminer le smartphone des utilisateurs les moins suspicieux. Malgré les efforts de Google pour renforcer la sécurité du Play Store, le problème demeure.

Pour parvenir à leurs fins, ces développeurs séparent le code malicieux de leurs logiciels entre plusieurs composants. Ils retardent aussi leur exécution, et utilisent des techniques pour empêcher les tests de sécurité de lancer leur exécution.

C’est ainsi que GhostClicker est parvenu à envahir 340 applications du Google Play Store. Son code malicieux a été divisé entre l’API GMS de Google et le SDK de Facebook Ad. Par la suite, un anti-sandboxing check a été utilisé pour empêcher le malware de se lancer si l’agent utilisateur d’un smartphone contient le terme nexus, couramment utilisé dans la plupart des applications de sandboxing Android.

GhostClicker : le malware sévit depuis plus d’un an en toute impunité

Ces deux astuces ont permis aux développeurs de GhostClicker de propager leur adware pendant presque un an. Selon Trend Micro les premières applications ont été infectées en août 2016. En outre, le logiciel malveillant a évolué au cours de l’année et n’a même plus besoin des privilèges administrateur pour opérer.

Concrètement, ce logiciel clique automatiquement sur les publicités Google AdMob afin de rapporter de l’argent à son développeur. En outre, GhostClicker affiche également des popups et des publicités pour tenter de rediriger l’utilisateur vers des liens affiliés, des vidéos YouTube ou d’autres applications du Play Store. Manifestement, l’objectif de GhostClicker est de générer du profit pour ses développeurs. Il n’a pas été conçu pour dérober les données des utilisateurs.

Trend Micro a principalement trouvé cet adware au sein d’applications comme des app cleaners, des boosters de mémoire, des gestionnaires de fichiers, des scanners de code QR, des lecteurs multimédias et des applications de navigations GPS. L’une des applications infectées, Aladdin’s Adventure’s World, a été téléchargée plus de cinq millions de fois.

Sur les 340 applications infectées, seule une centaine sont encore sur le Play Store. Malheureusement, Trend Micro n’a pas dévoilé la liste des applications concernées. Rassurez-vous toutefois, la plupart des victimes sont localisées en Asie du Sud-Est. Dans le doute, n’hésitez pas à consulter notre tutoriel pour se débarrasser des adwares.

Via
Réagissez à cet article !
  • Azer Reza

    C’esr surtout les utilisateurs Lambda qui peuvent impactés mais quand on voit le nombre d app infectés sur ce playstore on se demande pourquoi c’est trend micro qui les divulgue et pas Google lui même pour pouvoir faire du nettoyage par la même occasion

  • iAndroid

    Ahahahahahahahahahahahahahahahahahah
    Et après les androboys viennent nous dire qu’on ne risque rien sur le PlayStore… Encore un bel exemple du laxisme chez Google.

    • MisterX

      On va faire une simulation: Android n’existe plus,il ne reste que Apple,que devient ta pauvre vie,plus aucun endroit a troller,plus personne a insulter,tu pense au suicide ou alors tu te décide enfin a prendre ta vie en main et a en faire quelque chose de bien?

    • crachoveride

      Tu risque d’avoir des pub, youhou, la même que sous iOs et son Safari qui ne les bloque pas plus que ça ^^ Mais c’est horrible on va avoir de la pub ha ha

    • Insomnia

      Apple a les même risque va falloir arrêter de croire que le store est sur à 100%

  • hollow

    Google est toujours heureux de dénoncer les failles de Windows alors que son Play store est pleins de virus .

    • Insomnia

      Apprends déjà faire la différence entre un virus et un malware et on en reparle…

      • hollow

        Apprends déjà à avoir une opinion au lieu de critiquer celles autres et on en reparle …

      • Unkn0wn

        T’inquiete lui il répond toujours de la merde car c’est un su***** de pomme

    • Léon

      Et ils sont forts aussi pour dénoncer ceux qui ne font pas leurs MAJ de sécurité :)

  • crachoveride

    Généralement ceux qui font ça sont vite repéré sur Youtube et ne reste pas longtemps et ne sont pas payé non plus pour le coup. Pour avoir connu des cas comme ça, les bannissement ne se font pas attendre :)

  • Insomnia

    Il a été prouvé que la même chose peut être fait sous le store d’Apple sauf qu’Apple est peut être un peu plus réactif quand des apps pose soucis…la vérification manuel ne vérifie pas l’ensemble du code proposé

    • Léon

      Les apps sont aussi bien mieux optimisés sur Ios

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
c1144094721d6c52cfed675f9a7d15dcBBBBBBBBBBB