« Nos jeux ont récemment été bloqués sur Google Play. Il n’est malheureusement plus possible de les télécharger ».
C’est, dans les grandes lignes, le message que l’éditeur coréen Kiniwini a fait passer à sa communauté au lendemain de la publication d’un rapport qui le met en première ligne dans une affaire de fraude au clic.
Le rapport en question est signé Check Point. Le fournisseur de solutions de sécurité d’origine israélienne y évoque le cas de Judy, du nom d’un adware qui a pu, en théorie, infecter jusqu’à 36 millions d’appareils Android.
Sur les 50 applications dans lesquelles la souche a été détectée, 41 proviennent de Kiniwini, qui, sur le Play Store, se présente sous la dénomination ENISTUDIO Corp.
Google les a toutes retirées sans exception, mais on en trouve encore trace dans le cache de son moteur de recherche ; par exemple pour le jeu Judy’s Spa Salon, téléchargé entre 1 et 5 millions de fois selon les compteurs du Play Store.
De telles fourchettes ne permettent que de donner une approximation du nombre de terminaux potentiellement affectés. Ainsi l’ensemble des applications pointées du doigt chez Kiniwini ont-elles trouvé place sur au moins 4,62 millions de machines… et au plus 18,42 millions.
D’un côté, cette estimation n’inclut pas les magasins tiers sur lesquels on trouve aujourd’hui encore ces jeux mobiles. Mais de l’autre, elle suppose que Judy était présent dès la publication, sur Google Play, de chacune des apps concernées.
Certaines sont disponibles depuis plusieurs années. Pour d’autres, c’est une affaire de mois. Cependant, dans les deux cas, la dernière mise à jour est relativement récente (mars-avril 2017).
Les 9 autres applications incriminées ont cumulé entre 4,215 et 18,06 millions de téléchargements. Elles proviennent de développeurs tels que Neoroid, DeepEnjoy, Sundaybugs et Wontime.
Si l’existence d’une jonction avec Kiniwini n’est pas fermement établie, le principe est le même : une fois installé, le jeu demande, entre autres permissions, un accès à Internet, puis il établit le contact avec un serveur externe à Google d’où est récupérée la véritable charge malveillante, contournant ainsi les protections (« Bouncer ») de Google Play.
Du code JavaScript s’exécute, ouvrant, dans une page Web cachée avec un agent imitant un navigateur Internet, une liste d’URL qui redirigent vers des sites sur lesquels se trouvent des bannières publicitaires diffusées par la régie de Google (une recherche d’iframes est menée à ces fins).
De surcroît, Judy diffuse lui-même des publicités, dont certaines ne laissant pas d’autre choix que de cliquer, comme l’ont fait remarquer, sur le Play Store, certains utilisateurs soupçonneux.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…