Google détecte et supprime le botnet de fraude publicitaire Chamois
L'une des plus grandes familles de sa catégorie sur Android

Le , par Stéphane le calme, Chroniqueur Actualités
Android est le système d’exploitation le plus utilisé sur mobile. Aussi, comme Windows sur PC, il est la cible préférée des cybercriminels. Mais Google déploie des moyens pour aider les utilisateurs à se protéger au mieux. L’une des solutions de sécurité que nous pouvons évoquer et qui sont incluses sur tous les dispositifs Android est la fonctionnalité "Valider les applications”, qui permet d'analyser régulièrement l'activité de votre appareil, et de bloquer les menaces potentielles ou de vous en avertir. Cette fonctionnalité est activée par défaut, mais vous pouvez la désactiver.

Pour activer ou désactiver la validation des applications, procédez comme suit :
  • ouvrez l'application Paramètres de votre appareil ;
  • dans la section "Personnel", appuyez sur Google puis Sécurité ;
  • sous "Vérifier les applications", appuyez sur Analyser appareil pour détecter menaces de sécurité.

Il faut noter que, sur certains appareils, les paramètres Google se trouvent dans une application Paramètres Google distincte.

Durant une évaluation de routine de la qualité du trafic publicitaire, Bernhard Grill, Megan Ruthven et Xin Zhao, des ingénieurs sécurité de Google, ont détecté une nouvelle famille de menaces potentielles baptisée Chamois. Cette famille Android est capable entre autres :
  • de générer du trafic non valide grâce à des pop-up publicitaires comportant des graphiques trompeurs à l'intérieur de l'annonce ;
  • d’effectuer une promotion d'application artificielle en installant automatiquement des applications en arrière-plan ;
  • de se lancer dans la fraude téléphonique en envoyant des messages texte premium ;
  • de télécharger et d’exécuter des plug-ins additionnels.

« Nous avons analysé des applications malveillantes basées sur Chamois et avons découvert qu'elles utilisent plusieurs méthodes pour éviter la détection et tenter de tromper les utilisateurs qui cliquent alors sur des annonces affichant des graphiques trompeurs. Cela a parfois entraîné le téléchargement d'autres applications qui commettent une fraude au SMS. Nous avons donc bloqué la famille Chamois en utilisant "Valider les applications" et également expulsé de mauvais acteurs qui ont essayé de se jouer de nos systèmes publicitaires », a déclaré Google.

Et d’expliquer que cette famille peut se comporter en véritable fantôme. « Notre expérience antérieure avec des applications de fraude publicitaire comme celle-ci a permis à nos équipes de prendre rapidement des mesures pour protéger nos annonceurs et nos utilisateurs sur Android. Étant donné que l'application malveillante n'apparaissait pas dans la liste des applications de l'appareil, la plupart des utilisateurs n'auraient pas vu ou ne savaient pas comment désinstaller l'application indésirable. Raison pour laquelle "Valider les applications” de Google s’avère si précieux, car il permet aux utilisateurs de découvrir les menaces potentielles et de les supprimer ».

D’après Google, Chamois dispose de nombreuses fonctionnalités qui le rendent peu commun.

Exécution de la charge utile en plusieurs étapes (quatre) avec différents formats :


Ce processus multiétapes rend plus compliqué d'identifier immédiatement les applications de cette famille en tant que menaces potentielles parce que les couches doivent être pelées en premier pour atteindre la partie malveillante. « Cependant, les pipelines de Google n'ont pas été trompés, car ils sont conçus pour aborder ces scénarios correctement ».

Autoprotection : Chamois a essayé d'échapper à la détection en utilisant des techniques d'obfuscation et d'anti-analyse, « mais nos systèmes ont pu les contrer et détecter les applications en conséquence » .

Stockage chiffré personnalisé : la famille utilise un stockage de fichiers chiffré personnalisé pour ses fichiers de configuration et un code supplémentaire qui nécessitait une analyse plus approfondie pour comprendre la menace potentielle.

Taille : « nos équipes de sécurité ont parcouru plus de 100 K lignes de code sophistiqué écrit par des développeurs apparemment professionnels. En raison de la taille de l'APK, il a fallu un certain temps pour comprendre Chamois en détail ».

Dans l'ensemble, Google semble traiter cette nouvelle menace avec beaucoup d’efficacité. Selon les ingénieurs de l'entreprise, Chamois est actuellement l'une des plus grandes familles de menaces potentielles qui visent l'écosystème Android à ce jour.

Parmi les autres menaces de fraude publicitaire sur Android au même niveau que Chamois, nous pouvons citer HummingBad, Horde Viking, DressCode, CallJam et Skinner.

Source : Google, fonctionnalité "Valider les applications" (support Google)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil