Les chercheurs de Trend Micro ont découvert que les développeurs de l'adware GhostClicker sont parvenus à injecter leur logiciel malveillant dans plus de 340 applications Android du Google Play Store. Plus d'une centaine d'entre elles sont toujours présentes dans la boutique d'applications officielle de Google.

Par le passé, de nombreuses familles d'adwares ont réussi à infecter le Google Play Store : Chamois, FalseGuide, HummingBad, Viking Horde, DressCode, Calljam, ou encore Skinner pour ne citer que les plus plus connues.

Les développeurs de ces logiciels malveillants exploitent les faiblesses de sécurité du Google Play Store afin de contaminer le smartphone des utilisateurs les moins suspicieux. Malgré les efforts de Google pour renforcer la sécurité du Play Store, le problème demeure.

Pour parvenir à leurs fins, ces développeurs séparent le code malicieux de leurs logiciels entre plusieurs composants. Ils retardent aussi leur exécution, et utilisent des techniques pour empêcher les tests de sécurité de lancer leur exécution.

C'est ainsi que GhostClicker est parvenu à envahir 340 applications du Google Play Store. Son code malicieux a été divisé entre l'API GMS de Google et le SDK de Facebook Ad. Par la suite, un anti-sandboxing check a été utilisé pour empêcher le malware de se lancer si l'agent utilisateur d'un smartphone contient le terme nexus, couramment utilisé dans la plupart des applications de sandboxing Android.

GhostClicker : le malware sévit depuis plus d'un an en toute impunité

Ces deux astuces ont permis aux développeurs de GhostClicker de propager leur adware pendant presque un an. Selon Trend Micro les premières applications ont été infectées en août 2016. En outre, le logiciel malveillant a évolué au cours de l'année et n'a même plus besoin des privilèges administrateur pour opérer.

Concrètement, ce logiciel clique automatiquement sur les publicités Google AdMob afin de rapporter de l'argent à son développeur. En outre, GhostClicker affiche également des popups et des publicités pour tenter de rediriger l'utilisateur vers des liens affiliés, des vidéos YouTube ou d'autres applications du Play Store. Manifestement, l'objectif de GhostClicker est de générer du profit pour ses développeurs. Il n'a pas été conçu pour dérober les données des utilisateurs.

Trend Micro a principalement trouvé cet adware au sein d'applications comme des app cleaners, des boosters de mémoire, des gestionnaires de fichiers, des scanners de code QR, des lecteurs multimédias et des applications de navigations GPS. L'une des applications infectées, Aladdin’s Adventure’s World, a été téléchargée plus de cinq millions de fois.

Sur les 340 applications infectées, seule une centaine sont encore sur le Play Store. Malheureusement, Trend Micro n'a pas dévoilé la liste des applications concernées. Rassurez-vous toutefois, la plupart des victimes sont localisées en Asie du Sud-Est. Dans le doute, n'hésitez pas à consulter notre tutoriel pour se débarrasser des adwares.