Le logiciel, qui compte déjà des centaines de milliers d’utilisateurs, agit comme un marché gratuit non officiel pour les applications principalement axées sur le piratage, dont aucune n’est autorisée sur le Play Store de Google pour cette raison. Bien sûr, nombreux sont ceux qui préféreraient que Google ne conserve pas chaque logiciel avec une tige de fer, mais dans certaines situations, cela peut s’avérer avantageux.
Début octobre, le développeur d’Applinked, Inside4Android, a annoncé qu’à compter du 21 de ce mois, il ne posséderait plus le code de l’outil.
Les vétérans du monde du partage de fichiers reconnaîtront que ces types d’annonces sont généralement liés à une poignée d’événements de base. Par exemple, les développeurs peuvent se lasser de la charge de travail ou ne pas épargner les ressources nécessaires. Souvent, ils redoutent discrètement une action en justice. Dans d’autres cas, les gens interviennent et font une offre trop belle pour être refusée.
Dans le cas d’Applinked, le développeur a déclaré qu’il ne pouvait tout simplement pas faire face au volume de travail. Cela dit, son annonce suggérait qu’il souhaitait également mettre une certaine distance entre lui et l’application. Cela pourrait être principalement considéré comme faisant la bonne chose par ses utilisateurs de confiance. Après tout, ils sont venus à bord à cause de sa réputation et s’il n’est plus en charge, les choses pourraient changer.
Les choses ont changé, mais pas pour de bon
La semaine dernière, nous avons découvert qu’après avoir apparemment été transféré à ses nouveaux propriétaires, Applinked est soudainement passé d’une petite application d’environ 4 Mo à un lourd paquet mystérieux d’environ 34 Mo, qui a déclenché plus de 15 alertes de virus et de logiciels malveillants, dont certaines graves.
Comme nous l’avions suggéré à l’époque, c’est rarement le signe de quelque chose de bon du point de vue de l’utilisateur, donc si le développeur Applinked pouvait expliquer publiquement ce qui s’était passé, cela pourrait aider. Après tout, il avait précédemment affirmé qu’il travaillerait sur l’application pendant encore six mois après le transfert, donc si quelqu’un devait le savoir, il le devrait.
Cela ne s’est pas produit immédiatement, mais la semaine dernière, une nouvelle déclaration a été publiée sur Twitter, une déclaration qui n’a rien clarifié en particulier, mais qui semblait reconnaître que les choses pourraient ne pas se dérouler comme prévu.
Je veux qu’une chose soit très claire, je n’ai aucun contrôle sur ce qui arrive à applinked… c’était trop pour moi en tant que développeur unique, alors je l’ai transmis… Je développe de bonnes applications et ne tolère aucune sorte de malware ou de virus. .
— ✨✨ Inside 4ndroid ✨✨ (@Inside_4ndroid) 9 novembre 2021
Transmettre des projets n’est pas inhabituel dans le monde du partage de fichiers, surtout lorsque l’alternative est qu’ils meurent. Ce serait un gros problème selon le développeur, car des centaines de milliers de personnes utiliseraient l’application. Cela dit, les applications avec ce type de suivi ont une valeur considérable lorsqu’elles sont monétisées. Rien n’a été dit à ce sujet en public, mais le développeur d’origine a admis qu’une « entreprise » sans nom a repris Applinked.
Une autre mise à jour, plus d’avertissements sur les logiciels malveillants
La semaine dernière, une autre mise à jour d’Applinked a été publiée. La nouvelle version continue de générer 15 avertissements de logiciels malveillants ou plus lorsqu’elle est analysée et sa taille a également augmenté. La question brûlante, bien sûr, est à quoi sert tout ce code supplémentaire et pourquoi il est soudainement nécessaire. Alors, pour clarifier cela une fois pour toutes, nous avons demandé à plusieurs éditeurs d’antivirus de réaliser une analyse détaillée.
Alors que de nombreux fournisseurs n’ont pas répondu, société de cybersécurité Group-IB a déclaré qu’il demanderait à l’un de ses chercheurs sur les cybermenaces d’effectuer une analyse. Nous avons fourni des liens vers l’ancien APK, le nouveau, et avons demandé à Group-IB de déterminer si ce dernier agit de manière malveillante compte tenu de son augmentation massive de taille et si oui, exactement ce qu’il fait.
Pendant que cette tâche était en cours d’exécution, le développeur a accordé une interview inattendue sur YouTube. Cela éclairerait-il davantage la situation ?
Entretien YouTube
Les entretien a eu lieu jeudi dernier sur la chaîne YouTube Streaming Matters en l’espace de 55 minutes. Dans l’ensemble, cela a fourni des informations décentes sur l’application, le développeur et comment Applinked a connu un succès beaucoup trop rapide, ce qui a eu des conséquences néfastes sur l’entreprise et la vie privée du développeur.
Vers 19 minutes, Inside4Android a révélé qu’une entreprise avait fait une démarche et proposé de « éliminer tous les problèmes ». Cela s’est avéré attrayant, mais depuis qu’il a fait cela, Inside4Android a déclaré qu’il n’avait eu « que des tracas » de la part de personnes insatisfaites de la façon dont les choses se sont passées.
Le développeur a noté que ce n’était pas vraiment juste, car lorsqu’il était en charge, il n’avait fait aucun effort pour monétiser l’application de quelque manière que ce soit, et d’après ce que nous avons vu au moins, il n’y a aucune raison de douter de cette affirmation.
Il a ensuite confirmé qu’il jouait désormais un rôle de consultant pour le nouveau propriétaire, recevant le code et lui donnant le feu vert (ou le bas), ce qui suggère qu’il est conscient de la direction que prend l’application. Donc, à ce stade, il ne restait plus qu’à expliquer tout le gonflement supplémentaire de l’application qui semble être à l’origine des alertes de logiciels malveillants. Quand cette explication est venue, c’était assez inhabituel, c’est le moins qu’on puisse dire.
Après que l’intervieweur ait soulevé la question de l’augmentation massive de la taille du fichier, il n’a pas attendu de réponse. Au lieu de cela, il a immédiatement commencé à peindre sa propre hypothèse, apparemment sortie de nulle part, qui contre toute attente était apparemment correcte à 100%.
Intervieweur : « Un autre drapeau pour beaucoup de gens était quand ils ont vu la taille augmenter. Cela pourrait être les images, le nouveau APK a-t-il beaucoup d’images miniatures et des trucs comme ça ? Parce que souvent, les applications se développent si vous ajoutez de l’art ou des images là-dedans.
Inside4Android : « C’est 100 % correct. Tout est question de cache. Vous créez le cache en utilisant une application car chaque image qu’elle extrait… et charge dans une vignette ou autre, elle la stocke, donc elle est plus rapide à charger la prochaine fois. C’est essentiellement ce qu’il fait.
Après avoir entendu cela, il y avait plus qu’un peu d’inquiétude que nous ayons demandé à un expert en cybermenace de passer un temps précieux à regarder un tas d’images ennuyeuses. Cependant, lorsque l’analyse a été fournie par Feixiang He, responsable de la recherche sur l’intelligence de l’adversaire du Groupe-IB au Groupe-IB, les images n’étaient pas du tout la principale raison de l’augmentation de la taille.
Analyse des menaces du groupe IB
« L’augmentation majeure de la taille de l’application est causée par un module de code natif Linux supplémentaire ‘libfrpc.so’. Ce module contribue 56 Mo à l’application [extracted] taille au total », a révélé Feixiang He.
« Il utilise un projet de proxy inverse open source frp (https://github.com/fatedier/frp), qui est la principale raison pour laquelle la nouvelle version de l’application déclenche des détections de VirusTotal telles que » RiskWare:Linux/Fatedier.76937499 ‘ et ‘Riskware.Frp.B’.
Selon l’analyse, le module « libfrpc » est utilisé par une nouvelle fonctionnalité de monétisation d’applications appelée « Linda » qui envoie en permanence des informations de base sur l’appareil au domaine du serveur « monetizeweb.io ». Le chercheur du Groupe-IB dit que le but exact de l’exportation de ces informations n’est pas clair, mais il est devenu « un peu méfiant » à plusieurs égards.
« Il est normal de voir des applications Android essayer de prendre les empreintes digitales des appareils mobiles en envoyant des informations à un serveur publicitaire. Mais il y a très peu d’informations publiques sur le service ou le domaine de Linda », a-t-il expliqué.
« Il est étrange d’utiliser un proxy inverse pour se connecter aux serveurs d’annonces. Une connexion HTTP ou HTTPS normale suffit à cette fin. Un proxy inverse pourrait être utilisé pour franchir les pare-feu d’entreprise depuis le côté. C’est très préoccupant. »
UNE Analyse JoeSandBox d’Applinked montre cela et d’autres menaces sérieuses dans un format visuel.
Selon l’analyse du bac à sable, l’application vérifie si les appareils sont enracinés (recherche superuser.apk), puis demande un accès root. L’application essaie d’accéder aux données de localisation GPS et recherche également des informations sur les cartes SIM. D’autres tests révèlent que les adresses IP des utilisateurs sont envoyées à un serveur tiers.
Conclusion
Les applications avec des centaines de milliers d’utilisateurs sont des atouts très précieux et sont mûres pour être monétisées. Personne ne devrait être surpris d’apprendre que toute application – en particulier celles qui attirent les pirates – existe dans de nombreux cas pour gagner de l’argent. Dans ce cas, tous les signes indiquent que le développeur n’avait pas initialement en tête une entreprise commerciale, mais il semble que les nouveaux propriétaires aient des idées différentes.
Encore une fois, ce n’est pas une surprise, mais la façon dont cela a été géré l’est certainement. Si l’annonce précédente avait au moins reconnu que la monétisation était le plan pour l’avenir, la plupart des utilisateurs n’auraient pas cillé ni même s’en seraient souciés. Cependant, les drapeaux rouges ici sur presque tous les fronts suite aux dernières mises à jour sont trop nombreux pour être ignorés et semblent aller bien au-delà de quelques dollars.
