Récemment, une vaste opération malveillante a infiltré le Google Play Store, transformant des millions de smartphones en outils publicitaires non désirés. Découvrez comment cette attaque a été orchestrée et comment elle a pu passer sous le radar pendant plusieurs semaines, épuisant les ressources de nombreux appareils.
Résumé en 3 points
Des chercheurs de Check Point ont découvert un réseau d’applications malveillantes sur le Google Play Store début octobre. Celles-ci, déguisées en utilitaires ou éditeurs d’émojis, ont atteint plusieurs millions de téléchargements. L’une d’elles était même classée parmi les meilleurs outils gratuits. Derrière cette façade se cachait GhostAd, une campagne d’adware qui exploitait un moteur publicitaire, causant des ralentissements et d’autres désagréments sur les appareils infectés.
À la fin novembre, seules cinq applications du réseau étaient encore présentes sur le Play Store. À son apogée, la campagne comptait une quinzaine d’applications partageant le même code publicitaire, conçues pour rester actives sans éveiller les soupçons.
Les applications vérolées employaient un système permettant de rester actives en continu. Même après la fermeture ou le redémarrage d’un appareil, elles s’appuyaient sur un service en tâche de fond autorisé par Android. GhostAd utilisait une notification persistante vide, impossible à supprimer, pour signaler sa présence.
Un programmateur intégré relançait les opérations lorsque Android tentait de mettre les applications en veille, créant une boucle de requêtes publicitaires interminable sur les smartphones infectés. Les utilisateurs ont rapporté des symptômes tels que des surchauffes, des ralentissements et une consommation anormale de données et de batterie.
Alerté par Check Point, Google a retiré toutes les applications associées à GhostAd du Play Store. Certaines avaient déjà été supprimées avant le signalement, tandis que d’autres l’ont été par la suite. Désormais, Google Play Protect désactive automatiquement ces applications sur les appareils concernés, mettant fin à la campagne.
Bien que GhostAd soit neutralisé, d’autres menaces pourraient apparaître. Les utilisateurs sont encouragés à vérifier attentivement les avis, les permissions demandées et l’identité des éditeurs avant de télécharger des applications.
Le Google Play Store est la plateforme de distribution numérique officielle pour les appareils Android. Il propose des millions d’applications, allant des jeux aux outils utilitaires. Cependant, sa popularité en fait également une cible privilégiée pour les acteurs malveillants cherchant à exploiter ses fonctionnalités. Google met régulièrement à jour ses protocoles de sécurité pour détecter et éliminer les menaces, mais certaines passent parfois entre les mailles du filet, comme ce fut le cas avec la campagne GhostAd.