« Nos jeux ont récemment été bloqués sur Google Play. Il n’est malheureusement plus possible de les télécharger ».
C’est, dans les grandes lignes, le message que l’éditeur coréen Kiniwini a fait passer à sa communauté au lendemain de la publication d’un rapport qui le met en première ligne dans une affaire de fraude au clic.
Le rapport en question est signé Check Point. Le fournisseur de solutions de sécurité d’origine israélienne y évoque le cas de Judy, du nom d’un adware qui a pu, en théorie, infecter jusqu’à 36 millions d’appareils Android.
Sur les 50 applications dans lesquelles la souche a été détectée, 41 proviennent de Kiniwini, qui, sur le Play Store, se présente sous la dénomination ENISTUDIO Corp.
Google les a toutes retirées sans exception, mais on en trouve encore trace dans le cache de son moteur de recherche ; par exemple pour le jeu Judy’s Spa Salon, téléchargé entre 1 et 5 millions de fois selon les compteurs du Play Store.
De telles fourchettes ne permettent que de donner une approximation du nombre de terminaux potentiellement affectés. Ainsi l’ensemble des applications pointées du doigt chez Kiniwini ont-elles trouvé place sur au moins 4,62 millions de machines… et au plus 18,42 millions.
D’un côté, cette estimation n’inclut pas les magasins tiers sur lesquels on trouve aujourd’hui encore ces jeux mobiles. Mais de l’autre, elle suppose que Judy était présent dès la publication, sur Google Play, de chacune des apps concernées.
Certaines sont disponibles depuis plusieurs années. Pour d’autres, c’est une affaire de mois. Cependant, dans les deux cas, la dernière mise à jour est relativement récente (mars-avril 2017).
Les 9 autres applications incriminées ont cumulé entre 4,215 et 18,06 millions de téléchargements. Elles proviennent de développeurs tels que Neoroid, DeepEnjoy, Sundaybugs et Wontime.
Si l’existence d’une jonction avec Kiniwini n’est pas fermement établie, le principe est le même : une fois installé, le jeu demande, entre autres permissions, un accès à Internet, puis il établit le contact avec un serveur externe à Google d’où est récupérée la véritable charge malveillante, contournant ainsi les protections (« Bouncer ») de Google Play.
Du code JavaScript s’exécute, ouvrant, dans une page Web cachée avec un agent imitant un navigateur Internet, une liste d’URL qui redirigent vers des sites sur lesquels se trouvent des bannières publicitaires diffusées par la régie de Google (une recherche d’iframes est menée à ces fins).
De surcroît, Judy diffuse lui-même des publicités, dont certaines ne laissant pas d’autre choix que de cliquer, comme l’ont fait remarquer, sur le Play Store, certains utilisateurs soupçonneux.
Face aux menaces ciblant Microsoft 365, une approche de sécurité multicouche, combinant les fonctionnalités natives,…
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
