Des applications populaires de Play Store se livrent à la fraude publicitaire à grande échelle,
Et Google les a supprimées après avoir été signalées

Le , par Stan Adkens

56PARTAGES

7  0 
Play Store, le magasin d’applications Android de Google, est encore une fois victime des applications des développeurs malicieux. Android est le système d’exploitation le plus utilisé sur mobile. Le baromètre App Annie expliquait dans un rapport en janvier 2018 qu’ « En fait, au quatrième trimestre 2017, les utilisateurs ont téléchargé plus d'applications que jamais auparavant, avec près de 27 milliards de téléchargements sur iOS et Google Play dans le monde, soit une augmentation de 7 % d'une année sur l'autre. En outre, les applications offrent plus de valeur aux utilisateurs que jamais, les dépenses de consommation sur iOS et Google Play atteignant de nouveaux sommets dépassant les 17 milliards de dollars au quatrième trimestre 2017, soit 20 % de croissance d'une année sur l'autre. »

Surtout, le baromètre a noté qu’au cours de la même période, les téléchargements mondiaux sur Google Play ont franchi la barre des 19 milliards parmi les 27 milliards de téléchargements sur les deux plateformes (iOS et Google Play), soit le plus haut niveau de tous les temps, représentant une avance sur l’Apple Store de 145 %. Et App Annie a souligné à l’époque que ce nombre ne comprenait que les nouveaux téléchargements et ne comptait pas les réinstallations ou les mises à jour d'applications. Ce sont ces chiffres qui continuent de grimper qui font de Play Store de Google le point de chute de prédilection des applications des développeurs malhonnêtes.


Une foule d'applications Android populaires, y compris celles d'un développeur majeur chinois, DU Group, ont été signalées à la suite d’une enquête de BuzzFeed News sur des applications populaires Android. BuzzFeed News a découvert que ces applications, qui comprenaient une application selfie avec plus de 50 millions de téléchargements sur Play Store, se sont livrées à la fraude publicitaire à grande échelle et ont abusé des permissions des utilisateurs. D’après BuzzFeed News, ces applications avaient l'habitude d’effectuer des clics publicitaires même lorsqu'elles ne fonctionnaient pas en arrière-plan, épuisant la batterie et consommant des données des utilisateurs.

Selon le rapport de BuzzFeed News, DU Group a fait beaucoup d’effort pour dissimuler ses liens avec ces applications et les applications n’ont pas également divulgué clairement qu'elles recueillaient et envoyaient des données à leur développeur chinois. Google a supprimé les applications signalées. Selon le rapport de BuzzFeed News, ces six applications cliquaient frauduleusement sur des annonces pour générer des revenus, et au moins deux d'entre elles contenaient du code qui aurait pu être utilisé afin de se livrer à une forme différente de fraude publicitaire.

DU Group est un développeur d'applications chinois qui prétend avoir plus d'un milliard d'utilisateurs dans le monde. DU Group a été créé l'an dernier par le géant de la recherche Baidu, l'une des plus grandes sociétés technologiques chinoises. BuzzFeed News rapporte que les applications frauduleuses de DU Group ont été identifiées après qu’il ait rassemblé une liste de près de 5000 applications populaires à partir de Google Play, ainsi que leurs informations comme le nom du développeur et le nombre d'installations. Ces applications ont ensuite été passées au crible et les applications potentiellement dangereuses ont été remises aux chercheurs en sécurité et fraude publicitaire Check Point et Method Media Intelligence.

Les conclusions livrées par les chercheurs ont montré que ces applications demandaient des permissions inutiles et commettaient des fraudes publicitaires en utilisant ces permissions supplémentaires. Dans leur processus d'analyse, il a également été constaté que six applications qui se livraient à des pratiques contraires à l'éthique sont de DU Group, et ces applications ont au total plus de 90 millions de téléchargements.

Dans leur recherche, les chercheurs de la société de cybersécurité Check Point ont découvert que l'application populaire Selfie Camera, qui a été installée plus de 50 millions de fois, contient un code qui permet aux utilisateurs de cliquer automatiquement sur les publicités à leur insu ou sans leur consentement. Ces annonces ont été ensuite diffusées par les plateformes AdMob de Google et MoPub de Twitter.


Le rapport d’enquête de BuzzFeed News a révélé que les six applications de DU Group – Omni Cleaner, RAM Master, Smart Cooler, Total Cleaner et AIO Flashlight, et Selfie Camera – ont caché leurs affiliations avec la société chinoise de développement d’application et n'ont pas non plus révélé qu'ils renvoyaient des données à la Chine. Elles ont toutes été liées à un faux nom de développeur Pic Tools Group, d’après le rapport. Google a confirmé qu'il a supprimé six applications de DU Group de son magasin en ligne au moment de la publication du rapport de BuzzFeed News.

Toutefois, cette fraude à grande échelle ne se limite pas seulement aux applications de DU Group. D'autres applications Android avec un nombre élevé de permissions inutiles identifiées par BuzzFeed News incluent une autre application notable nommée Samsung TV Remote Control, développée par la société Peel Technologies basée aux Etats-Unis. Selon l’enquête, l’application a demandé 58 permissions, dont 23 se trouvaient dans la catégorie des permissions dangereuses.

L'application fait partie d'une famille d'applications de télécommande TV de la société, qui ont toute la même politique de confidentialité qui stipule que « l'application collecte des informations détaillées sur le contenu que vous consommez (validé par la reconnaissance du contenu audio). Ceci suggère que l'application accède au microphone pour faire de l’enregistrement audio pendant que vous l'utilisez. Il recueille également des informations sur votre emplacement, votre adresse IP, votre périphérique et votre comportement lorsque vous utilisez l'application », d’après le rapport. Une autre application lampe torche qui n’est pas de DU Group utilisent également des dizaines de permissions inutiles et potentiellement envahissantes.

Peel s’est prononcé après la publication du rapport en déclarant que ses applications n'effectuent pas la reconnaissance de contenu audio, bien que selon le rapport, la société « n'a pas répondu à une question de suivi sur la raison pour laquelle cette fonction est citée dans sa politique de confidentialité. Elle a aussi dit qu'elle ne partageait avec des tiers que des données de localisation non identifiables pour une fraction de nos utilisateurs », a rapporté BuzzFeed News.

Les politiques du Play Store de Google mises en cause par l’enquête

Ce rapport d’enquête soulève des questions pertinentes sur la façon dont les développeurs parviennent à exploiter les politiques de Play Store, à dissimuler facilement leur identité aux utilisateurs, à offrir des applications avec des permissions invasives et à utiliser ces permissions pour se livrer à une fraude publicitaire. Cette découverte engage encore une fois de plus la responsabilité de Google et de tous les propriétaires de magasins d’applications mobiles.

Google n’est pas à sa première suppression d’application après qu’elles été révélées frauduleuses au malveillantes. Pas plus tard qu’en janvier dernier, des chercheurs de Trend Micro ont étudié plusieurs applications qui étaient hébergées sur Google Play Store et ont découvert une famille d'adwares actifs dissimulés sous la forme de 85 applications de simulateur de jeu, de télévision et de contrôle à distance. Selon Trend Micro, ce logiciel publicitaire était capable d'afficher des publicités en plein écran, de se cacher, de surveiller la fonctionnalité de déverrouillage de l'écran d'un périphérique et de s'exécuter en arrière-plan du périphérique mobile. Après vérification du rapport fourni par Trend Micro, Google a procédé à la suppression des 85 applications du Play Store bien que ces dernières avaient déjà été téléchargées 9 millions de fois.

En janvier 2018, Google annonçait sur le blog Android avoir supprimé de son store plus de 700 000 mauvaises applications en 2017, soit 70 % de plus qu'en 2016. Andrew Ahn, Product Manager au sein de l’équipe responsable de Google Play avait déclaré à l’époque que Google a réduit de plus de moitié la probabilité qu'un utilisateur installe une mauvaise application, « protégeant ainsi les personnes et leurs appareils, et rendant la tâche plus difficile à ceux qui cherchent à abuser de l’écosystème des applications sur Google Play pour leur propre bénéfice ». Toutefois les menaces sont toujours manifestes dans son magasin avec des applications qui continuent d’utiliser des multitudes de permissions dangereuses.

Selon Richard Kramer, analyste senior d'Arete Research, Google ne fait pas assez pour protéger les utilisateurs. Il a déclaré dans un courriel à BuzzFeed News :

« Vous ne pouvez pas séparer le comportement de DU Group de la société mère inscrite sur la liste américaine ». « La fraude publicitaire est tout simplement la norme en Chine (et pour beaucoup d'autres applications), et... Google devrait faire beaucoup plus pour l'empêcher, même si cela réduisait sensiblement les ventes. Ils ne peuvent prétendre ignorer ou nier le problème », a-t-il ajouté.

Le sénateur Mark Warner de Virginie a aussi réagi au rapport d’enquête. Selon lui les entreprises chinoises d'applications mobiles posent un risque pour la sécurité des Etats-Unis en raison de leur collecte vorace de données et des lois chinoises qui les rendent « en définitive redevables au Parti communiste ».

« Toutes ces informations finissent dans des dépôts de données en Chine. Au-delà de la fraude [publicitaire], tous les renseignements personnels recueillis sur les Américains constituent un problème », a-t-il dit.

Google a confirmé qu'il a supprimé six applications de DU Group de Google Play, mais n'a pas précisé comment il compte s’y prendre pour traiter le problème d'abus des règles de son Play Store en général. Google devrait mettre en place des politiques plus strictes pour les développeurs, afin de combler toutes ces lacunes.

Source : BuzzFeed News

Et vous ?

Qu’en pensez-vous ?
Avez-vous déjà téléchargé une application sur Play Store qui s’est avérée frauduleuse par la suite ?

Lire aussi

Une fausse application de configuration pour Alexa d'Amazon grimpe les échelons dans l'App Store d'Apple, avant d'être supprimée
Google annonce avoir supprimé de son store plus de 700 000 mauvaises applications en 2017, soit 70 % de plus qu'en 2016
Google supprime 85 applications publicitaires du Play Store, après qu'elles aient été téléchargées 9 millions de fois
Android : trois applications de sécurité sur cinq n'offrent pas de protection réelle, selon une étude menée par AV-comparatives
Google décide de monétiser le service de cartographie grand public de Google Maps, par des publicités et des annonces sponsorisées

Une erreur dans cette actualité ? Signalez-le nous !


 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web