« Nos jeux ont récemment été bloqués sur Google Play. Il n’est malheureusement plus possible de les télécharger ».
C’est, dans les grandes lignes, le message que l’éditeur coréen Kiniwini a fait passer à sa communauté au lendemain de la publication d’un rapport qui le met en première ligne dans une affaire de fraude au clic.
Le rapport en question est signé Check Point. Le fournisseur de solutions de sécurité d’origine israélienne y évoque le cas de Judy, du nom d’un adware qui a pu, en théorie, infecter jusqu’à 36 millions d’appareils Android.
Sur les 50 applications dans lesquelles la souche a été détectée, 41 proviennent de Kiniwini, qui, sur le Play Store, se présente sous la dénomination ENISTUDIO Corp.
Google les a toutes retirées sans exception, mais on en trouve encore trace dans le cache de son moteur de recherche ; par exemple pour le jeu Judy’s Spa Salon, téléchargé entre 1 et 5 millions de fois selon les compteurs du Play Store.
De telles fourchettes ne permettent que de donner une approximation du nombre de terminaux potentiellement affectés. Ainsi l’ensemble des applications pointées du doigt chez Kiniwini ont-elles trouvé place sur au moins 4,62 millions de machines… et au plus 18,42 millions.
D’un côté, cette estimation n’inclut pas les magasins tiers sur lesquels on trouve aujourd’hui encore ces jeux mobiles. Mais de l’autre, elle suppose que Judy était présent dès la publication, sur Google Play, de chacune des apps concernées.
Certaines sont disponibles depuis plusieurs années. Pour d’autres, c’est une affaire de mois. Cependant, dans les deux cas, la dernière mise à jour est relativement récente (mars-avril 2017).
Les 9 autres applications incriminées ont cumulé entre 4,215 et 18,06 millions de téléchargements. Elles proviennent de développeurs tels que Neoroid, DeepEnjoy, Sundaybugs et Wontime.
Si l’existence d’une jonction avec Kiniwini n’est pas fermement établie, le principe est le même : une fois installé, le jeu demande, entre autres permissions, un accès à Internet, puis il établit le contact avec un serveur externe à Google d’où est récupérée la véritable charge malveillante, contournant ainsi les protections (« Bouncer ») de Google Play.
Du code JavaScript s’exécute, ouvrant, dans une page Web cachée avec un agent imitant un navigateur Internet, une liste d’URL qui redirigent vers des sites sur lesquels se trouvent des bannières publicitaires diffusées par la régie de Google (une recherche d’iframes est menée à ces fins).
De surcroît, Judy diffuse lui-même des publicités, dont certaines ne laissant pas d’autre choix que de cliquer, comme l’ont fait remarquer, sur le Play Store, certains utilisateurs soupçonneux.
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…