Tech&Co
Cybersécurité

Comment une agence de pub chinoise a infecté 85 millions de smartphones

-

- - Rob Bulmahn (Creative Commons)

Une société peu scrupuleuse infecte les téléphones Android pour y installer de manière frauduleuse des applications tierces dans le but d'empocher des commissions d'affiliation. Un business diabolique.

Le malware mobile, ça peut rapporter gros. Des chercheurs de sécurité de la société Check Point viennent de tirer la sonnette d'alarme : une nouvelle famille de chevaux de Troie baptisée "HummingBad", se diffuse de manière explosive sur des dizaines de millions de smartphones Android dans le monde entier.

Selon Check Point, ces malwares seraient l'œuvre d'un spécialiste chinois de la publicité mobile qui a pignon sur rue et qui s'appelle Yingmob. Son modèle économique serait, certes, très lucratif mais totalement frauduleux. Les développeurs de cette entreprise diffusent des centaines de fausses applications mobiles à travers des app stores alternatifs. Une fois installées, elles vont "rooter" le terminal (c'est-à-dire obtenir les privilèges administrateur) pour pouvoir y placarder de la pub dans tous les coins, installer des applications supplémentaires et faire de la fraude au click.

10.000 dollars par jour

La campagne HummingBad a démarré en août 2015. Plus de 85 millions de terminaux ont été infectés depuis. Plus de 10 millions de personnes utilisent actuellement ces applications malveillantes, générant chaque jour plus de 20 millions d'affichages pub et plus de 50.000 d'installations frauduleuses. La rentabilité est au rendez-vous: selon les calculs de Check Point, l'activité de Yingmob génèrerait 10.000 dollars de revenus par jour!

Nombre d'infections HummingBad par jour
Nombre d'infections HummingBad par jour © Check Point

Concrètement, une personne dont le terminal a été infecté verra par exemple une publicité particulièrement intrusive pour une application. Pour s'en débarrasser, elle sera contrainte d'appuyer sur un bouton "Fermer", mais celui-ci provoquera en réalité le téléchargement en douce de l'application. Vis-à-vis de l'annonceur, Yingmob arrive à faire passer cette installation pour un téléchargement depuis Google Play, le magasin d'applis officiel de Google. Le tour est joué : il empoche une commission.

Duplication de l'IMEI

Autre méthode: l'utilisateur clique sur un pub qui ouvre Google Play. L'application malveillante va alors simuler le clic de téléchargement, ce qui provoque le paiement de la commission. Le malware HummingBad peut également générer un second numéro IMEI sur le téléphone, alors que celui-ci est théoriquement unique. Résultat: Yingmob pourra installer deux fois plus d'applications par téléphone infecté, et donc empocher deux fois plus d'argent.

Parmi les pays les plus touchés par ces chevaux de Troie figurent l'Inde, le Chine, les Philippines et l'Indonésie. En Europe, les victimes se trouvent surtout en Russie et en Ukraine. Il faut espérer que cette vague de malware n'arrivera pas dans nos contrées. Le meilleur moyen pour se prémunir de ces chevaux de Troie, c'est encore de ne jamais installer des applications provenant de places de marché alternatives et de privilégier les sites officiels comme ceux de Google ou d'Amazon.