L’intelligence artificielle peut aussi être ceci : une cybermenace. Des chercheurs de Dr.Web, société spécialisée dans la sécurité mobile, ont découvert une famille de malwares capables d’exploiter des modèles de machine learning pour générer des fraudes publicitaires. La particularité ? En plus d’automatiser le processus, ces logiciels malveillants parviennent à agir de manière totalement invisible pour l’utilisateur.
Comment fonctionne ce malware
Le malware en question utilise TensorFlow.js, une bibliothèque open source développée par Google qui permet d’entraîner et d’utiliser des modèles d’intelligence artificielle directement en JavaScript, au sein des navigateurs ou sur des serveurs. Contrairement aux chevaux de Troie de fraude numérique traditionnels, ce malware fonctionne d’une manière totalement nouvelle. Aucun script prédéfini ni interaction avec le code de la page via la couche DOM classique n’est utilisé, mais le malware utilise une analyse visuelle des pages publicitaires (obtenue grâce à des captures d’écran et des modèles d’IA) qui identifient les éléments sur lesquels cliquer d’une manière très similaire à un utilisateur réel. Cette technique est particulièrement efficace car elle permet de s’adapter aux changements fréquents de format des publicités, qui apparaissent souvent sous forme de vidéos ou au sein d’iframes.
Les chercheurs ont identifié deux modes de fonctionnement principaux. Le premier, appelé mode fantôme, consiste à charger une page web dans une WebView complètement cachée, qui n’est jamais montrée à l’utilisateur. Ici, un fichier JavaScript capable de simuler des clics sur des publicités est activé, après avoir reçu à distance le modèle d’IA à utiliser. L’ensemble du processus se déroule sur un écran virtuel, où l’intelligence artificielle analyse les images et identifie les bons points à toucher. Le deuxième mode, encore plus insidieux, est appelé mode de signalisation. Dans ce cas, la vue du WebView est transmise en temps réel via WebRTC, permettant aux cybercriminels de contrôler directement l’écran virtuel. Ils peuvent ainsi cliquer, faire défiler ou saisir du texte manuellement, sans que l’utilisateur ne s’en aperçoive.
Ce qui rend cette menace particulièrement préoccupante, c’est la manière dont elle se propage. Le malware a été trouvé dans les jeux publiés sur la boutique officielle de Xiaomi, GetApps. Ce sont des titres apparemment inoffensifs qui, au départ, ne contiennent aucune fonctionnalité malveillante. Ce n’est que plus tard, avec les mises à jour ultérieures, que les codes malveillants sont introduits. Certains des jeux identifiés comme infectés ont été téléchargés par des dizaines de milliers d’utilisateurs. Parmi eux figurent Theft Auto Mafia, Cute Pet House, Creation Magic World, Amazing Unicorn Party et Sakura Dream Academy.
Outre la chaîne officielle Xiaomi, le malware se propage également via des APK modifiés hébergés sur des plateformes très populaires parmi les utilisateurs d’Android, comme Apkmody et Moddroid. Dans de nombreux cas, les applications infectées sont des versions « premium » ou « modifiées » de logiciels bien connus tels que Spotify, Deezer, YouTube ou Netflix. Ce qui rend l’identification de la menace plus complexe, c’est que dans certains cas, les applications sont parfaitement fonctionnelles. Des canaux actifs dans la propagation du malware ont également été identifiés sur Telegram et Discord, avec des milliers de membres impliqués.
Les conséquences possibles
Même si cette menace n’implique pas de vol direct de données personnelles, les conséquences pour les utilisateurs ne sont pas négligeables. L’utilisation continue de l’appareil en arrière-plan, la génération automatique d’interactions sur les publicités et l’utilisation constante du processeur graphique et du réseau de données peuvent entraîner une consommation rapide de la batterie, une détérioration de l’appareil et une augmentation du trafic de données, avec de potentiels coûts supplémentaires.
Comme on pouvait s’y attendre, l’utilisation de l’intelligence artificielle rend les cybermenaces plus sophistiquées, plus adaptables et plus difficiles à détecter. La possibilité d’effectuer des actions en temps réel, via une interface invisible pour l’utilisateur, représente une avancée supplémentaire dans les stratégies adoptées par les cybercriminels. Celui qui vient d’être identifié risque d’être le premier d’une série d’évolutions en matière de fraude en ligne.
