Une nouvelle alerte de cybersécurité frappe l’écosystème Android. Les chercheurs de HUMAN Satori Threat Intelligence ont révélé une vaste campagne de fraude publicitaire baptisée SlopAds, dissimulée au sein de 224 applications malveillantes disponibles sur le Google Play Store. Avant d’être supprimées par Google, ces applications avaient déjà été téléchargées plus de 38 millions de fois dans 228 pays.

Comment ces applications ont trompé Google et les utilisateurs ?

Les pirates derrière SlopAds ont rivalisé d’ingéniosité :

• Les apps se faisaient passer pour des services basés sur l’IA afin d’attirer les utilisateurs.
• Leur code était obscurci, ce qui compliquait la tâche des outils de sécurité de Google.
• Elles pouvaient reconnaître si elles tournaient sur un vrai smartphone ou sur un environnement de test (utilisé par des chercheurs).
• Les fonctionnalités malveillantes ne s’activaient que si l’installation venait d’une publicité de leur campagne, et non d’un simple téléchargement depuis le Play Store.

En apparence, tout semblait fonctionner normalement. Mais en arrière-plan, une mécanique bien plus inquiétante se mettait en place.

Une technique sophistiquée : la stéganographie

Une fois installées, les applications téléchargeaient un fichier de configuration chiffré qui servait de déclencheur.
Puis elles récupéraient quatre images PNG d’apparence banale. Or, dans les métadonnées de ces images étaient cachés des fragments d’un logiciel malveillant.

C’est ce qu’on appelle la stéganographie, une méthode qui consiste à dissimuler du code ou des données dans un fichier inoffensif.

Au final, un module nommé FatModule s’installait en douce sur le smartphone.

À quoi servait FatModule ?

Une fois actif, FatModule transformait les téléphones infectés en machines à générer du trafic publicitaire :

• Le smartphone visitait automatiquement des sites créés par les pirates.
• Des publicités s’affichaient et étaient cliquées en boucle, sans que l’utilisateur s’en aperçoive.
• Les cybercriminels empochaient ainsi des revenus massifs.

D’après les chercheurs, la fraude atteignait plus de 2 milliards d’impressions et de clics publicitaires par jour.

Google réagit, mais la menace persiste

Alerté par HUMAN Satori, Google a immédiatement :

• supprimé les 224 applications incriminées,
• mis à jour son outil Play Protect pour avertir les utilisateurs infectés et leur demander de les désinstaller.

Cependant, les chercheurs estiment que la campagne SlopAds pourrait revenir sous une autre forme. Sa sophistication prouve que les pirates préparent déjà de nouvelles applications frauduleuses.

Comment se protéger ?

Même sur le Play Store, la vigilance reste indispensable :

• Vérifiez les avis et les notes avant d’installer une application.
• Privilégiez les développeurs connus et fiables.
• Méfiez-vous des applications récentes avec peu de téléchargements ou des descriptions douteuses.
• Gardez Play Protect activé et votre appareil à jour.

#CyberSécurité #Android #FraudeMobile #PlayStore #Malware #RisqueNumérique #SécuritéMobile #ProtectionDesDonnées #Perfitcom

Auteur : Ing. TAKAM TCHEUTCHOUA Junior – Consultant en Cybersécurité