Ce logiciel malveillant utilise TensorFlow.js, une bibliothèque open source de Google permettant d’exécuter des modèles d’apprentissage automatique en JavaScript, aussi bien dans les navigateurs que via Node.js. Contrairement aux chevaux de Troie de fraude au clic traditionnels, qui fonctionnent avec des actions JavaScript prédéfinies au niveau du DOM, cette variante analyse l’image à l’écran elle-même. Elle est ainsi capable de reconnaître les publicités en fonction de leurs caractéristiques visuelles, même lorsque celles-ci changent de manière dynamique ou sont intégrées dans des iframes et des vidéos.
Distribué via GetApps/Xiaomi
Selon les chercheurs de la société de sécurité Dr.Web, ce logiciel malveillant se propage notamment via GetApps, la boutique d’applications officielle des appareils Xiaomi. Les applications malveillantes sont souvent soumises dans un premier temps sans code malveillant et ne reçoivent les composants malveillants que plus tard, par le biais de mises à jour. Elles parviennent ainsi à contourner les contrôles initiaux. Par ailleurs, le logiciel malveillant circule également via des sites web APK alternatifs et des versions modifiées d’applications populaires telles que Spotify, YouTube, Deezer et Netflix. Des chaînes Telegram et même un serveur Discord comptant des dizaines de milliers de membres sont également utilisés pour diffuser des applications infectées.
Un navigateur caché commet des fraudes
Une fois installé, le logiciel malveillant peut fonctionner en « mode fantôme ». Il ouvre alors un navigateur WebView caché qui charge une page web contenant des publicités sur un écran virtuel. Des captures d’écran de cette page sont analysées par un modèle d’IA entraîné en externe, qui reconnaît les éléments publicitaires pertinents et clique automatiquement dessus. Comme ces interactions ressemblent fortement au comportement normal d’un utilisateur, elles sont difficiles à distinguer des clics réels.
Dans un deuxième mode de fonctionnement, appelé « signalling », le logiciel malveillant va encore plus loin. Grâce à WebRTC, un flux vidéo en direct de l’écran du navigateur virtuel est transmis aux pirates, qui peuvent ainsi effectuer en temps réel des actions telles que faire défiler la page, cliquer et saisir du texte. Il est frappant de constater que certaines applications infectées fonctionnent effectivement comme promis, ce qui rend les utilisateurs moins méfiants. Comme la fraude se déroule entièrement dans un navigateur caché, l’utilisateur ne voit pas de pop-ups suspectes ni de comportements indésirables.
Bien que la fraude au clic et l’utilisation abusive des publicités ne constituent pas une menace directe pour les données personnelles ou la vie privée, elles sont particulièrement lucratives pour les cybercriminels. Pour les victimes, cela se traduit principalement par une consommation accrue de la batterie, une usure plus rapide de l’appareil et, éventuellement, une augmentation des frais de données mobiles.
La prudence reste la meilleure défense
Il est conseillé aux utilisateurs d’Android de n’installer des applications qu’à partir du Google Play Store et de se méfier tout particulièrement des versions alternatives d’applications populaires qui promettent des fonctionnalités supplémentaires ou un accès premium gratuit. Celles-ci restent un vecteur privilégié pour des logiciels malveillants de plus en plus sophistiqués, dans lesquels l’intelligence artificielle joue désormais clairement un rôle nouveau.
