Judy : un adware très joueur qui fait le buzz sur Google Play
Check Point a mis le doigt sur Judy, un logiciel malveillant utilisé pour de la fraude au clic et qui contourne les protections intégrées à Google Play.
« Nos jeux ont récemment été bloqués sur Google Play. Il n’est malheureusement plus possible de les télécharger ».
C’est, dans les grandes lignes, le message que l’éditeur coréen Kiniwini a fait passer à sa communauté au lendemain de la publication d’un rapport qui le met en première ligne dans une affaire de fraude au clic.
Le rapport en question est signé Check Point. Le fournisseur de solutions de sécurité d’origine israélienne y évoque le cas de Judy, du nom d’un adware qui a pu, en théorie, infecter jusqu’à 36 millions d’appareils Android.
Sur les 50 applications dans lesquelles la souche a été détectée, 41 proviennent de Kiniwini, qui, sur le Play Store, se présente sous la dénomination ENISTUDIO Corp.
Google les a toutes retirées sans exception, mais on en trouve encore trace dans le cache de son moteur de recherche ; par exemple pour le jeu Judy’s Spa Salon, téléchargé entre 1 et 5 millions de fois selon les compteurs du Play Store.
Du simple au quadruple
De telles fourchettes ne permettent que de donner une approximation du nombre de terminaux potentiellement affectés. Ainsi l’ensemble des applications pointées du doigt chez Kiniwini ont-elles trouvé place sur au moins 4,62 millions de machines… et au plus 18,42 millions.
D’un côté, cette estimation n’inclut pas les magasins tiers sur lesquels on trouve aujourd’hui encore ces jeux mobiles. Mais de l’autre, elle suppose que Judy était présent dès la publication, sur Google Play, de chacune des apps concernées.
Certaines sont disponibles depuis plusieurs années. Pour d’autres, c’est une affaire de mois. Cependant, dans les deux cas, la dernière mise à jour est relativement récente (mars-avril 2017).
Attaque en deux temps
Les 9 autres applications incriminées ont cumulé entre 4,215 et 18,06 millions de téléchargements. Elles proviennent de développeurs tels que Neoroid, DeepEnjoy, Sundaybugs et Wontime.
Si l’existence d’une jonction avec Kiniwini n’est pas fermement établie, le principe est le même : une fois installé, le jeu demande, entre autres permissions, un accès à Internet, puis il établit le contact avec un serveur externe à Google d’où est récupérée la véritable charge malveillante, contournant ainsi les protections (« Bouncer ») de Google Play.
Du code JavaScript s’exécute, ouvrant, dans une page Web cachée avec un agent imitant un navigateur Internet, une liste d’URL qui redirigent vers des sites sur lesquels se trouvent des bannières publicitaires diffusées par la régie de Google (une recherche d’iframes est menée à ces fins).
De surcroît, Judy diffuse lui-même des publicités, dont certaines ne laissant pas d’autre choix que de cliquer, comme l’ont fait remarquer, sur le Play Store, certains utilisateurs soupçonneux.