Judy ou comment gonfler l’audience publicitaire à l’insu de l’utilisateur (la pub ne paye pas… Ou presque) !

Loin d’être aussi bienveillante que cette >Judyci<, l’adware Judy permettait à ses inventeurs de récolter monnaies sonnantes et trébuchantes en générant de « vrai-faux » clics publicitaires via les applications mobiles dédiées…

 

 

Comme expliqué dans le billet de l’équipe sécuritaire Check Point, les applications permettaient d’établir une communication-serveur avec injection de code type JavaScript pour mieux télécharger ou faire pointer le ou les URLs malicieuses, dans le but d’imiter frauduleusement un clic-utilisateur, en créant un page Web en arrière-plan et en générant les clics issus de cette page Web malveillante : « cela enregistre silencieusement les utilisateurs qui établissent une connexion avec le serveur C & C (ndlr : Command and Control). Le serveur répond avec le malware préchargé en question, qui comprend le code JavaScript, une chaîne agent-utilisateur et les URLs contrôlées par l’auteur de logiciels malveillants. Le logiciel malveillant ouvre les URL à l’aide de l’agent utilisateur qui imite un navigateur PC dans une page Web cachée et reçoit une redirection sur un autre site. Une fois le site Web ciblé lancé, le logiciel malveillant utilise le code JavaScript pour localiser et cliquer sur les bannières de l’infrastructure publicitaire Google« .

 

Derrière cette manipulation tortueuse se cache un but simple et unique, bien évidemment, à savoir le gain maximum avec, ici, l’optimisation illégale de la rémunération publicitaire au clic, puisque sans passer par de vrais utilisateurs ; en ligne de mire, une société Coréenne – Kiniwini mais enregistrée en tant qu’Enistudio corp. sous le Google Play –  qui développe essentiellement des applications mobiles pour Android et iOS… Une ambiguïté à laquelle s’ajoutait des commentaires douteux ou frauduleux en sur-notant les applications et en donnant des commentaires à l’opposé de la réalité, trompant encore plus la vigilance de l’utilisateur s’il les lisait. Au final et selon les faits exposés par Check Point, il serait question, pour l’heure, de 41 applications en lien direct avec la société incriminée, ce qui représenterait entre 4,5 M et 18,5 M de téléchargement. Dans la foulée, d’autres applications usitant l’adware ont été décelé par le groupe sécuritaire sans pouvoir, pour l’instant, permettre d’établir un lien direct avec Kiniwini ; on en dénombrerait 9 pour des téléchargements compris entre 4,21 M et 18,06 M depuis le store de Google d’où les applications, après notification de Check Point au géant, ont été rapidement retirés.

 

Si l’adware Judy possède un niveau de dangerosité limité, il n’apparait pas moins pernicieux dans son modus operandi qui pourrait, dans le pire des cas, cacher d’autres applications basées sur un processus similaire voire identique en notant que certaines applications mobiles ont été mises en ligne / à jour sur le Google Play Store depuis 2016 (celles en lien indirecte avec la société qui, elle, possède des dates plus récentes puisque de cette année, 2017) alors-même qu’en >Février 2012<, lors du lancement de son système de vérification des applications « Bouncer », le géant Californien se targuait d’avoir constaté une diminution des programmes téléchargés et potentiellement malveillants de l’ordre de 40 %… A veiller !

 

Source : Blog CheckPoint.com – billet du 25 Mai 2017 – Adware Judy sur Google Play.