Alors que la vague de ransomware WannaCry a fait les gros titres, on est presque heureux de revenir à des malwares moins nocifs. Checkpoint présente ainsi une nouvelle variété de malwares Android, baptisée Judy, dédiée cette fois à faire de la fraude au clic sur les appareils ayant installé les applications de l’éditeur.
Les applications concernées sont au nombre de 41 selon Checkpoint et sont pour la plupart éditées par la société coréenne Kiniwini, enregistrée sur le Google Play Store sous le nom d’ENISTUDIO corp. Cette société édite des applications ludiques à destination d’un jeune public mettant en scène un personnage emblématique baptisé Judy, d’où le nom du malware en question.
Les applications n’ont en soi rien de malveillant et se présentent sous la forme de simples jeux mobiles. Mais Checkpoint explique avoir détecté un fonctionnement caché en analysant leur comportement : une fois que celle-ci a été téléchargée et installée par l’utilisateur sur son téléphone, elle contacte un serveur de command&control afin de télécharger une mise à jour qui contient le code malveillant.
Celui-ci se présente sous la forme de code JavaScript, qui se charge ensuite d’ouvrir une page cible en tache d’arrière-plan et de cliquer de manière répétée sur les publicités Google affichées sur la page. Le but est évidemment de gonfler artificiellement les statistiques et l’audience de certaines campagnes de publicité en générant du faux clic, le tout sans que l’utilisateur ne puisse s’en apercevoir. Dans le même temps, le malware va afficher des publicités sur l’écran de l’utilisateur où il faudra cliquer soi même pour s’en débarrasser.
Un comportement malveillant, banni par les règles du Google Play Store. Mais selon Checkpoint, la stratégie mise en place par l’éditeur de ces applications leur a permis de contourner les garde-fous de Google.
L’éditeur reste prudent sur le nombre d’utilisateurs affectés par cette vague de malware, mais explique que les applications concernées par Judy étaient disponibles librement sur le Google Play Store. Selon la société de cybersécurité, celles-ci auraient été largement téléchargées : une première campagne a permis de rassembler « entre 4,5 et 18 millions de téléchargements » pour les applications vérolées.
Une seconde campagne, très similaire, mais mise en place par d’autres développeurs, aurait de son côté généré entre 4 et 18 millions de téléchargements. Les dernières mises à jour de ces applications identifiées par Checkpoint remontent à avril 2016, mais il n’est pas possible de savoir depuis combien de temps ces applications ont choisi d’opter pour ces techniques afin de générer du clic facile.
Checkpoint explique avoir averti Google du comportement de ces applications, et que celles-ci ont été retirées du Google Play store à la suite de cet avertissement.