Les cyberexperts de McAfee ont signalé 16 applications qui se livraient à une fraude au paiement par clic à l'insu de leurs utilisateurs. Ce malware cliqueur était le plus souvent caché derrière une application légitime de type lampe flash, calendrier ou encore convertisseur de devise.

Les analystes de McAfee ont détecté plusieurs applications Android qui s'adonnent à une fraude publicitaire, ou encore Pay Per Click Fraud. L’entreprise de cybersécurité a bien évidemment dénoncé ces malwares auprès de Google, qui dans son effort de bannir les applications mensongères et truffées de pub, s'est donc empressé de les retirer du Store. Elles ont cependant eu le temps de faire des dégâts, puisque selon l’éditeur de logiciels, pas moins de vingt millions d’utilisateurs auraient déjà téléchargé l’une de ces seize applications malveillantes.

Ces apps sont le plus souvent des utilitaires du genre lampe flash, un outil de conversion de mesures ou encore un lecteur de QR codes. Une fois installées, ces dernières téléchargent un code malicieux, puis ouvrent un site Internet en arrière-plan comportant des publicités. Le malware visite ces pages et s’y comporte comme un internaute lambda : il clique sur les liens affichés et fait gagner des sous aux cybercriminels propriétaires de ce faux site affilié.

A lire aussi : QR Codes – attention, des hackers les utilisent pour vider votre compte bancaire

Ces applications Android installent un cliqueur qui ouvrait des pages Internet cachées

On estime que la fraude publicitaire est le cybercrime le plus important en termes de revenus. En 2022, le montant des pertes qui lui sont imputables s’élève à 68 milliards $, soit près de 20 % des dépenses en marketing. Selon McAfee, la technique utilisée par les hackers utilise un service de Google, le Firebase Cloud Messenging, qui sert non seulement à créer des messageries, mais aussi à envoyer des notifications aux appareils. Par l’intermédiaire du FCM, les pirates ont trouvé le moyen d’envoyer des messages “caché” qui exécutent des commandes sur le portable des victimes : en l’occurrence ouvrir une page Web en cachette et lancer un Cliqueur.

Bien évidemment, l’objectif pour les cybercriminels est de faire visiter le plus de pages possible sans se faire détecter. Les utilisateurs ayant installé l’une de ces applications frauduleuses, mais qui seront restés attentifs, auront probablement remarqué que la batterie de leur smartphone se vide plus rapidement que d’habitude et que leur connexion au réseau semble plus lente. Les applications abritant ce malware vecteur de fraude publicitaire sont :

• SmartTaskManager de James
• Flash Plus de Caramel
• Memocalendar de Smh
• WordBook de Joysoft
• BusanBus de kmshack
• Candleprotest de candlencom
• Quicknote de Movinapp
• SmartCurrencyConverter de Smartwho
• Barcode de Joysoft
• Ezdica de Joysoft
• Instapp de Schedulezero
• Tingboard de Meek
• Flashlite de Candlencom
• Calcul de Doubleline
• Imagevault.

Google affirme non seulement que toutes ces applications ont été retirées du Play Store, mais que de plus les utilisateurs de smartphones Android sont protégés par Google Protect.