Pour gérer vos consentements :

Judy : un adware très joueur qui fait le buzz sur Google Play

« Nos jeux ont récemment été bloqués sur Google Play. Il n’est malheureusement plus possible de les télécharger ».

C’est, dans les grandes lignes, le message que l’éditeur coréen Kiniwini a fait passer à sa communauté au lendemain de la publication d’un rapport qui le met en première ligne dans une affaire de fraude au clic.

Le rapport en question est signé Check Point. Le fournisseur de solutions de sécurité d’origine israélienne y évoque le cas de Judy, du nom d’un adware qui a pu, en théorie, infecter jusqu’à 36 millions d’appareils Android.

Sur les 50 applications dans lesquelles la souche a été détectée, 41 proviennent de Kiniwini, qui, sur le Play Store, se présente sous la dénomination ENISTUDIO Corp.

Google les a toutes retirées sans exception, mais on en trouve encore trace dans le cache de son moteur de recherche ; par exemple pour le jeu Judy’s Spa Salon, téléchargé entre 1 et 5 millions de fois selon les compteurs du Play Store.

Du simple au quadruple

De telles fourchettes ne permettent que de donner une approximation du nombre de terminaux potentiellement affectés. Ainsi l’ensemble des applications pointées du doigt chez Kiniwini ont-elles trouvé place sur au moins 4,62 millions de machines… et au plus 18,42 millions.

D’un côté, cette estimation n’inclut pas les magasins tiers sur lesquels on trouve aujourd’hui encore ces jeux mobiles. Mais de l’autre, elle suppose que Judy était présent dès la publication, sur Google Play, de chacune des apps concernées.

Certaines sont disponibles depuis plusieurs années. Pour d’autres, c’est une affaire de mois. Cependant, dans les deux cas, la dernière mise à jour est relativement récente (mars-avril 2017).

Attaque en deux temps

Les 9 autres applications incriminées ont cumulé entre 4,215 et 18,06 millions de téléchargements. Elles proviennent de développeurs tels que Neoroid, DeepEnjoy, Sundaybugs et Wontime.

Si l’existence d’une jonction avec Kiniwini n’est pas fermement établie, le principe est le même : une fois installé, le jeu demande, entre autres permissions, un accès à Internet, puis il établit le contact avec un serveur externe à Google d’où est récupérée la véritable charge malveillante, contournant ainsi les protections (« Bouncer ») de Google Play.

Du code JavaScript s’exécute, ouvrant, dans une page Web cachée avec un agent imitant un navigateur Internet, une liste d’URL qui redirigent vers des sites sur lesquels se trouvent des bannières publicitaires diffusées par la régie de Google (une recherche d’iframes est menée à ces fins).

De surcroît, Judy diffuse lui-même des publicités, dont certaines ne laissant pas d’autre choix que de cliquer, comme l’ont fait remarquer, sur le Play Store, certains utilisateurs soupçonneux.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago