Les chercheurs d’ESET ont observé un nombre croissant d’applications sur Google Play tirant parti de techniques de piratage psychologique pour doper leurs évaluations, qu’il s’agisse d’applications légitimes, de logiciels publicitaires ou de logiciels malveillants.
Parmi ces applications aux notes artificiellement élevées, un cheval de Troie affichant des publicités agressives a été détecté. Ce dernier a été installé par un maximum de 5 000 utilisateurs sous la forme d’un outil permettant de télécharger du contenu à partir de YouTube. L’application, détectée par ESET sous le nom d’Android/Hiddad.BZ, utilise plusieurs méthodes mensongères pour duper les utilisateurs et les inciter à installer son composant intrusif d’affichage publicitaire tout en s’assurant l’obtention d’une bonne note dans la boutique par la même occasion.
Pour atteindre ce dernier objectif, l’application revisite la bonne vieille méthode consistant à supplier l’utilisateur d’attribuer une note élevée à l’application en affichant des écrans de harcèlement. L’application affiche des publicités agressives et promet, de façon mensongère, de les supprimer en échange d’une note de 5 étoiles.
Ces incitations à attribuer des notes élevées aux applications sont néanmoins de fausses promesses par essence, puisque les développeurs n’ont aucun moyen d’établir un lien entre des utilisateurs et des évaluations spécifiques et ne peuvent dès lors pas « récompenser » les utilisateurs qui leur attribuent 5 étoiles. En outre, récompense ou non, les applications promettant aux utilisateurs quoi que ce soit en échange d’une note élevée violent le Règlement du programme Google Play pour les développeurs.
Une avalanche de fausses promesses sur Google Play
Des techniques semblables visant à tromper les utilisateurs ont récemment été utilisées dans un certain nombre d’applications affichant des publicités sur Google Play pour un total pouvant atteindre 800 000 installations, selon une recherche récente menée par ESET.
Ces applications « forcent la main » des utilisateurs pour qu’ils leur attribuent des notes élevées en utilisant divers prétextes, ce qui augmente leurs chances d’être téléchargées à l’avenir. Leur point commun est une fonctionnalité normalement inexistante constituée d'écrans pop-up demandant l’attribution d’une évaluation de 5 étoiles pour continuer, débloquer la totalité du contenu ou supprimer les publicités, et une évaluation bien trop élevée pour être crédible.
Un exemple criant de ces pratiques est le faux jeu Subway Sonic Surf Jump, qui oblige les utilisateurs à lui attribuer une note de 5 étoiles pour accéder au jeu fictif, tout en affichant publicité sur publicité. Au final, l’application a été installée jusqu'à 500 000 fois et obtient une moyenne de 4,1 dans un mélange ambigu de notes de 5 étoiles, suivies de commentaires d’utilisateurs contrariés indiquant n’attribuer cette note que parce qu’ils y sont obligés.
Figure 1 – Évaluations ambiguës pour le jeu Subway Sonic Surf Jump
Selon un procédé similaire, des applications très prisées, tout du moins si l’on en croit leur note moyenne, comme Anime Wallpapers HD et Latest online movies, font miroiter des fonctionnalités qu’elles n’ont aucune intention de fournir en échange de notes de 5 étoiles. Tout comme dans le cas de Subway Sonic Surf Jump, consulter les commentaires laissés par les utilisateurs contrariés permet de découvrir le pot aux roses.
Figure 2 – Écrans demandant une note de 5 étoiles en échange de fonctionnalités supplémentaires
S’agissant de certaines incitations de notation, que l’on retrouve la plupart du temps dans des jeux bien réels mais obscurs, les développeurs récompensent tout simplement tous les utilisateurs qui cliquent sur OK/NOTER L’APPLI dans l’écran de harcèlement. Cependant, ce procédé ne s’applique pas aux applications analysées dans cet article, qui sont totalement fausses et ne tiennent aucunement leurs promesses, quoi que fasse l’utilisateur.
Analyse de Android/Hiddad.BZ
Sept versions de la menace détectée sous le nom d’Android/Hiddad.BZ ont été retrouvées sur Google Play, portant toutes des noms légèrement différents, tels que « Tube.Mate » et « Snaptube ». Une fois installées, les sept applications s’affichent sous le nom de « Music Mania » dans la liste des applications de l’utilisateur.
Leur fonctionnement est également identique : elles combinent une fonctionnalité de téléchargement de contenus depuis YouTube et celle d’un injecteur. Les applications ont été signalées par ESET le 27 février, puis retirées de la boutique en ligne.
Figure 3 – Les chevaux de Troie sur Google Play
Figure 4 – Noté élevée attribuée à un cheval de Troie sur Google Play
Comment cela fonctionne ?
Après le lancement par l’utilisateur de l’application téléchargée en cliquant sur l’icône « Music Mania », le composant d’affichage publicitaire se charge. Ce dernier se manifeste sous la forme d’un faux écran système nécessitant l’installation d’un « plug-in Android » et se superposant à l’écran jusqu’à son activation.
La charge utile d’affichage publicitaire est installée lorsque l’utilisateur clique sur le bouton d’installation. L’utilisateur est ensuite invité à activer les droits d’administrateur sur l’appareil pour le faux plug-in par un autre écran impossible à refermer.
Figure 5 – Composant d’affichage publicitaire présenté sous la forme d’un « plug-in Android »
Figure 6 – Composant d’affichage publicitaire exigeant les droits d’administrateur sur l’appareil
Après avoir accordé les droits, l’utilisateur voit immédiatement s’afficher un écran rempli de publicités et doit ensuite évaluer l’application en lui donnant une note de 5 étoiles pour les supprimer. L’annulation du message entraîne l’affichage d’un déluge encore plus massif de publicités sur l’appareil de l’utilisateur afin de le contraindre à noter l’application à la prochaine invite.
Figure 7 – Cheval de Troie doté d’un module d’affichage publicitaire demandant à l’utilisateur d’attribuer une note de 5 étoiles
Figure 8 – Surcharge de publicités suivant l’annulation de la demande d’évaluation
Comment supprimer un appareil infecté ?
Si vous avez téléchargé cette application, vous verrez s’afficher « Music Mania » et « plug-in Android » dans votre gestionnaire d’applications. Le plug-in Android correspond à la charge utile injectée, responsable des publicités agressives. Vous verrez également s’afficher la mention « Autorisations requises » dans Administrateurs de l’appareil.
La suppression de l’installation originale en accédant à Paramètres -> Gestionnaire d’applications -> Music Mania ne suffit pas à supprimer la charge utile injectée. Pour éradiquer complètement Android/Hiddad.BZ de votre appareil, désactivez ses droits d’administrateur sur l’appareil en accédant à Paramètres -> Sécurité -> Administrateurs de l’appareil -> Autorisations requises. Vous pouvez ensuite procéder à la désinstallation de la charge utile en accédant à Paramètres -> Gestionnaire d’applications -> plug-in Android.
Vous pouvez également utiliser une solution de sécurité mobile fiable pour détecter les menaces et les supprimer à votre place.
Figure 9 – Charge utile injectée sous Administrateurs de l’appareil
Figure 10 – Charge utile injectée sous Gestionnaire d’applications
Comment éviter d’être infecté
Lorsque l’on constate qu’il existe même des applications malveillantes incitant les utilisateurs à manipuler le système de notation de Google Play, l’on est en droit de se demander si le conseil consistant à vérifier l’évaluation avant de télécharger mérite d’être suivi.
Ce conseil reste valable. Seulement, il n’est pas suffisant de consulter la note. Pour bénéficier d’une véritable vue d’ensemble de ce qu’une application offre ou non, prenez le temps de consulter les commentaires des utilisateurs. Tout comme nous l’avons démontré dans les cas présentés ci-dessus, les véritables utilisateurs ont tendance à laisser des commentaires honnêtes sur les applications, même si c’est pour se plaindre d’avoir été forcé de noter une application 5 étoiles.
Capture d’écran d’un appareil infecté
Échantillons
[table id=286 /]
