La campagne de logiciels malveillants qui a trompé des millions d'utilisateurs

Table des matières

L'écosystème Android a été ébranlé par l'une des campagnes de logiciels malveillants les plus choquantes de ces dernières années. Sous le nom de “Steam”, cette opération a été infiltrée sur Google Play avec plus de 300 applications malveillantes, trompant des millions d'utilisateurs dans le monde. Ce qui semblait être un logiciel légitime, tel que les applications de santé, les scanners de code QR ou les journaux personnels, cachait en fait des mécanismes complexes destinés à afficher des publicités envahissantes, des escroqueries de phishing et un vol de données sensibles.

Le malware, détecté au début de 2024, a dépassé avec succès les filtres de sécurité de la boutique Android officielleaccumulant pas moins de 60 millions de téléchargements dans ses différentes versions avant d'être éliminés. Cependant, la menace se poursuit, car les attaquants ont démontré leur capacité à lancer de nouvelles variantes et à éviter les mesures implémentées par Google.

Qu'est-ce que la vapeur et comment a-t-il agi?

Steam est une famille de logiciels malveillants Android axés sur l'affichage des logiciels publicitaires et le vol de données personnelles et financières. Bien que certaines de leurs applications contiennent initialement la fonctionnalité promise et semblent complètement inoffensives, leur véritable menace a été activée après l'installation. Cela a été réalisé via une connexion avec un serveur de commande et de contrôle (C2), à partir de laquelle des mises à jour ont été téléchargées qui ont transformé ces applications en logiciels dangereux.

L'une des principales tactiques de tromperie était de présenter ces applications comme des outils utiles. Parmi les noms les plus importants du groupe des applications malveillants figurent:

  • Aquatracker – 1 million de téléchargements
  • Cliquez sur Télécharger – 1 million de téléchargements
  • Scanner – 1 million de téléchargements
  • Water Time Tracker – 1 million de téléchargements
  • Être plus – 1 million de téléchargements
  • Beatwatch – 500 000 téléchargements
  • Translatecan – 100 000 téléchargements
  • Localisateur – 50 000 téléchargements

Ces applications ont été publiées sur Google Play entre octobre 2024 et mars 2025en utilisant plusieurs comptes de développeurs différents. Cette stratégie a diminué le risque qu'ils aient été éliminés en bloc lorsqu'ils sont détectés. De plus, chaque application a utilisé un autre SDK publicitaire, ce qui rend difficile l'identification dans le cadre de la même campagne malveillante.

Applications Android malveillantes Steam

Techniques de dissimulation de sécurité et d'évasion

L'un des aspects les plus sophistiqués des logiciels malveillants à vapeur est sa capacité à passer inaperçu même après avoir été installé. Pour ce faire, j'ai utilisé plusieurs méthodes techniques inhabituelles mais très efficaces.

Désactivé leur activité principale (activité de lanceur)ce qui a fait disparaître l'icône de l'application du tiroir des applications. Cette modification a été apportée via le fichier AndroidManifest.xml. Dans certains cas, les applications ont même modifié leur nom dans les paramètres du système, en supplantant des applications légitimes telles que “Google Voice” pour ne pas soulever des soupçons. Ce comportement est similaire à ce qui est observé dans le malware Playpraetor.

Un point particulièrement sérieux est que ces applications ont réussi à démarrer automatiquement sans avoir besoin pour l'utilisateur de les ouvrir. Ceci a été réalisé grâce à des composants cachés exécutés avec un code natif, leur permettant de fonctionner en arrière-plan sans visibilité.

Publicité frauduleuse et escroqueries de masse

L'objectif principal de nombreuses applications à vapeur était de générer des revenus grâce à une publicité trompeuse. Certaines applications ont pu lancer des publicités en plein écran de manière invasive, qu'elles soient ouvertes ou non. Ces publicités pourraient promouvoir des produits légitimes, mais également dirigé des sites Web dangereux ou des escroqueries de support technique, de faux remboursements, entre autres.

Les chercheurs ont documenté que la campagne est venue générer plus de 200 millions de demandes quotidiennes d'annonces frauduleusesqui démontre l'échelle de fraude. Cette technique affecte non seulement les utilisateurs, mais aussi les annonceurs et les services de publicité eux-mêmes.

L'une des conséquences les plus directes pour les utilisateurs a été L'augmentation de masse de la consommation de batteries et des données mobilesainsi que Un ralentissement général de l'appareil. De plus, les bombardements ADS ont sérieusement compromis l'expérience d'utilisation, même bloquant complètement la navigation ou l'utilisation normale du téléphone.

Au-delà de l'adware: vol de données personnelles

Certaines versions plus agressives des applications Steam étaient au-delàdépliant Faux écrans de connexion de services populaires tels que Facebook ou YouTube dans le but de voler des informations d'identification des utilisateurs.

Dans d'autres cas, les demandes demandées Données de carte de crédit Sous des prétextes tels que la confirmation des paiements, le déverrouillage des fonctions premium ou effectuer des chèques d'identité. Tout cela, évidemment, à des fins frauduleuses.

Une fois ces informations capturées, Les cybercriminels pourraient commettre une fraude financière, vendre les données sur le Web sombre ou supplanter l'identité des victimes. La gravité de ces actions va bien au-delà du logiciel publicitaire ennuyeux, transformant la vapeur en une menace de premier niveau dans le monde Android.

Évitant la détection: pourquoi Google l'a-t-il déjà arrêté?

L'une des questions les plus fréquentes sur ce cas est la façon dont il a regardé Steam sur Google Play sans être détecté pendant si longtemps. La réponse réside dans la structure technique de l'attaque.

Les applications contiennent initialement du code malveillant visible. Ce n'est qu'après avoir été libéré, ils se sont connectés à un serveur distant à partir duquel ils ont déchargé leur véritable charge malveillante. Cette approche permet à la majorité des analyses automatisées qui s'appliquent avant la publication dans le magasin. Pour plus d'informations sur ce type d'évasion, vous pouvez lire sur les fausses mises à jour en tant que méthode de logiciels malveillants.

Google a éliminé plus de 300 applications une fois la campagne découvertemais les experts avertissent que De nouvelles versions sont susceptibles d'apparaîtreen raison de la capacité déjà démontrée des attaquants à mettre à jour leur approche et à surmonter les mécanismes de sécurité.

Symptômes d'infection: comment savoir si votre mobile a été affecté

Graphiques du logo Android.

Il existe certains signes qui pourraient indiquer qu'un appareil Android a été compromis par une application de type Steam:

  • Apparence d'annonces en plein écran qui ne peuvent pas être fermées
  • Icônes de disparition des applications que vous savez que vous avez installées
  • Réduction de la batterie extrême ou utilisation excessive des données mobiles
  • Étape du système ou comportement erratique
  • Demandes inhabituelles pour saisir des informations d'identification ou des données bancaires

Si vous remarquez l'un de ces symptômes, Il est essentiel d'agir immédiatement Pour bloquer tout écart de sécurité possible et protéger l'intégrité de vos données personnelles.

Que faire si vous avez installé une application malveillante

Si vous détectez qu'une application malveillante est sur votre appareil, la première chose est de l'éliminer dès que possible. Pour ce faire, suivez ces étapes:

  • Ouvrir Paramètres> Applications> Voir toutes les applications
  • Recherchez toute application suspecte Ne voyez pas sur votre écran d'accueil
  • Désinstaller directement à partir du menu. Si vous ne pouvez pas, redémarrez l'appareil en mode sans échec

Après, Faites une analyse complète avec Google Play Protect ou un outil antivirus fiable tel que le combo plus propre.

Dans les cas extrêmes, Il peut être nécessaire de restaurer l'appareil aux valeurs d'usine. N'oubliez pas de faire une sauvegarde précédente si vous décidez de choisir ce chemin.

Clés pour éviter les infections futures

La meilleure défense contre les menaces comme Steam est la prévention. Il existe plusieurs pratiques recommandées que vous pouvez appliquer pour assurer la sécurité de votre mobile:

  • Évitez d'installer des applications inutiles ou des développeurs inconnus
  • Vérifiez toujours les permis demandant une application avant de l'installer
  • Mettez régulièrement à mettre à jour le système d'exploitation et vos applications
  • Vérifiez la liste complète des applications installées Pour détecter les logiciels cachés
  • Activer une solution de sécurité fiable qui peut identifier un comportement suspect

En ce qui concerne la sécurité mobile, les informations sont la puissance. Être évité est la clé pour naviguer en toute sécurité dans l'écosystème Android.

La campagne Steam marque avant et après la manière dont les cyber-comptes tirent parti des faiblesses du système pour exécuter des opérations à grande échelle. Malgré les efforts de Google pour éliminer ces menaces, il est clair que les filtres automatiques ne sont pas suffisants. Le comportement de ces attaquants est de plus en plus sophistiqué et leur capacité à adapter oblige les utilisateurs à rester vigilants. Apprendre à reconnaître les signaux, à éviter les applications suspectes et à utiliser des outils de sécurité n'est plus une option, mais un besoin de base pour tout utilisateur d'Android.

Les logiciels malveillants volent les conversations Android

Article connexe:

Des millions d'utilisateurs d'Android affectés par des logiciels malveillants dans les guides de jeux


Leave a Reply