Un nouveau malware s’invite dans des applications Android distribuées sur la boutique de Xiaomi. Truffées de malwares, ces six apps transforment votre smartphone en machine à cliquer sur des pubs grâce à l’IA. Tandis que les pirates empochent les revenus publicitaires, votre smartphone va se mettre à ramer et à chauffer…
Une nouvelle souche de virus Android a été identifiée par les chercheurs russes de Dr.Web. Le logiciel malveillant s’appuie sur l’intelligence artificielle pour engranger des bénéfices. Le malware a été repéré dans le code de plusieurs jeux Android distribués sur des boutiques d’applications.
Pour piéger les internautes, les pirates commencent par glisser un module malveillant dans des jeux Android en apparence anodins et inoffensifs. Ils mettent ensuite en ligne les jeux sur la boutique Xiaomi GetApps (l’ancienne Xiaomi Market) et sur des sites d’APK modifiés comme Moddroid ou Apkmody. Les fichiers APK sont aussi massivement partagés sur des canaux Telegram et Discord. Intéressé par le jeu, l’internaute va installer celui-ci sur son smartphone. Au départ, l’application est normale ou semble légitime. Elle peut même avoir été publiée sans code malveillant, dans l’attente d’une mise à jour qui comprend le malware.
A lire aussi : Avec 1,8 million d’appareils Android piratés, ce botnet peut « lancer des cyberattaques massives »
Page web invisible et intelligence artificielle
Une fois la charge malveillante activée, le virus contacte un serveur distant contrôlé par les pirates pour récupérer sa configuration et un modèle d’IA open source développé par Google, TensorFlow.js. Une fois ce modèle stocké localement sur l’appareil, l’application peut l’utiliser hors ligne pour arriver à ses fins. En parallèle, l’application Android continue de fonctionner normalement de manière à ce que l’utilisateur ne se rende compte de rien.
Le malware ouvre alors une fenêtre avec l’aide de WebView, un composant système essentiel sur Android qui permet aux applications d’afficher du contenu web sans ouvrir un navigateur complet. Cette fenêtre reste invisible aux yeux de l’utilisateur. Le malware s’appuie sur un écran virtuel, ouvert directement dans l’application installée. Dans ce navigateur invisible, le virus charge des pages web ciblées, qui ont été fournies dans la configuration téléchargée en amont sur les serveurs des pirates.
Un virus qui clique à votre place grâce à l’IA
Le malware prend régulièrement des captures d’écran de cet écran virtuel et les envoie au modèle TensorFlow.js désormais embarqué sur l’appareil. L’IA analyse alors l’image pour repérer les éléments publicitaires pertinents. Une fois que les boutons publicitaires ont été repérés, le malware simule un clic au bon endroit, comme si un doigt appuyait sur l’écran tactile. Ce processus se répète en boucle : chargement de pages, analyse, suivi d’une série de clics. Ceux-ci sont facturés comme de vrais clics d’utilisateur. En d’autres termes, le logiciel malveillant clique à votre place sur des publicités, ce qui génère rapidement des revenus publicitaires. Les chercheurs indiquent que le malware est aussi en mesure de donner les rênes du smartphone au pirate. Les cybercriminels peuvent alors cliquer à votre place, et en restant à distance, sur des touches.
De prime abord, le smartphone continue de fonctionner normalement. En coulisses, il charge énormément de pages publicitaires, ce qui va rapidement avoir un impact négatif sur son autonomie et ses performances. L’utilisateur n’aperçoit jamais de pubs à l’écran, mais il constate que son smartphone chauffe, tient moins longtemps avec une seule recharge et consomme plus de données mobiles. Tandis que les cybercriminels s’enrichissent, la victime se retrouve avec un smartphone devenu inutilisable.
À lire aussi : Pour protéger votre smartphone Android, Google revoit ses mises à jour de sécurité
Les applications Android à désinstaller de toute urgence
Pour éviter de vous retrouver avec un smartphone Android ralenti par un malware, on vous conseille de vérifier la liste des applications installées à la recherche d’une app frauduleuse. Si vous trouvez l’une des applications ci-dessous sur votre téléphone, désinstallez-la sans tarder. Sans plus attendre, voici la liste des applications malveillantes épinglées par Dr.Web :
- Theft Auto Mafia
- Cute Pet House
- Creation Magic World
- Amazing Unicorn Party
- Open World Gangsters
- Sakura Dream Academy
Sur la boutique de Xiaomi, ces applications ont été téléchargées plus de 150 000 fois. Au moment où cet article est écrit, les applications sont toujours disponibles au téléchargement sur la plateforme. Notez que toutes les apps viennent d’un développeur chinois qui se fait appeler « SHENZHEN RUIREN NETWORK CO., LTD ». Parmi les principales cibles de l’opération, on trouve les internautes qui parlent en français, en espagnol, en allemand, en polonais et en italien.
« Les chevaux de Troie de cette famille représentent une menace pour les propriétaires d’appareils mobiles Android non protégés par un antivirus à jour », explique Dr.Web.
Comme toujours, on vous conseille d’éviter d’installer des applications en dehors du Play Store. Avant de télécharger une app, même sur un site officiel comme celui de Xiaomi, prenez le temps de vous renseigner sur l’application et sur son développeur. Consultez les commentaires et les avis avant de passer à l’acte. Au moindre doute, abstenez-vous.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.