Ce malware peut secrètement rooter votre smartphone Android et installer des applications malicieuses
Il exploite des vulnérabilités peu connues
Le 2016-06-23 00:13:30, par Coriolan, Expert éminent sénior
Trend Micro, la société de protection informatique a révélé l’existence d’une nouvelle famille de malwares qui s’étend sur Android, le système d’exploitation mobile de Google. Godless (ANDROIDOS_GODLESS.HRX) a la capacité de rooter les terminaux tournant sous Android et obtenir les droits administrateurs. De cette façon, il peut être nuisible pour l’utilisateur. « Doté de multiples exploits, Godless peut cibler pratiquement tous les appareils Android fonctionnant sur Android 5.1 (Lollipop) ou antérieurs », précise la firme de sécurité. Ainsi plus de 90 % des smartphones Android sont menacés par ce malware.
Exemple d'une application contenant le code malicieux
Dans un billet de blog, Trend Micro explique que le malware, une fois installé sur le terminal, ne tente de rooter l’appareil que lorsque l’écran est éteint. Pour arriver à ses fins, il exploite un éventail de failles anonymes. Une fois qu’il arrive à rooter le smartphone, il installe des applications malveillantes qui prennent souvent la forme d’utilitaires à l’image de Summer Flashlight, ou des copies de jeux populaires. Du fait qu’elles sont considérées comme parties intégrantes du système, il devient difficile de les désinstaller par la suite.
Godless n’est qu’une résurgence d’un kit d’exploitation qui s’appuie sur android-rooting-tools, une bibliothèque open source pour administrer les appareils sous Android. « Ledit framework a divers exploits dans son arsenal qui peuvent être utilisés pour ‘rooter’ divers appareils Android », explique la firme de sécurité dans son billet de blog. « Les deux vulnérabilités les plus importantes ciblées par ce kit sont CVE-2015-3636 (utilisée par l’exploit PingPongRoot) et CVE-2014-3153 (utilisée par l’exploit Towelroot) ». Les cybercriminels profitent de ces vulnérabilités du fait qu’elles sont suffisamment obsolètes et peu connues dans le monde de la sécurité.
Une version plus récente du malware peut contourner les contrôles de sécurité de magasins d’applications comme Google Play. Trend Micro a confirmé avoir trouvé plusieurs applications contenant le code malicieux permettant d’introduire le malware. Quelques applications concernées sont sans menace, mais il existe des applications correspondant à ces dernières qui partagent le même certificat de développeur. Le danger réside dans la possibilité que l’utilisateur puisse être amené à installer une mise à jour infectée sans le savoir au-dessus de la version sans code malicieux.
L’autre facette du danger de Godless est la possibilité de recevoir des instructions des parties tierces pour installer des applications, ou exploiter des backdoors pour installer des spywares capables d’espionner l’appareil en toute discrétion. Le malware peut aussi se passer des permissions Android, (sauf dans Marshmallow 6.0) et installer un magasin d’applications alternatif qui remplace le Play Store. À partir de là, il peut installer des applications sponsorisées et falsifier les notes de certaines applications. Trend a notifié Google qui aurait déjà mis en place des mesures de protection contre les applications en question.
Distribution globale des terminaux infectés par pays
Jusqu’à ce jour, le malware aurait infecté plus de 850 000 terminaux dans le monde. En haut du classement, l’Inde est le pays le plus touché (plus de 46 % des terminaux infectés) devant les autres pays de la zone Asie. On peut noter aussi que les États-Unis (1,51 %) figurent dans le top 10 des pays les plus touchés.
Pour Trend Micro, l’utilisateur doit être vigilant lors de l’installation d’une application, ainsi vérifier les avis des utilisateurs et la notoriété de l’éditeur peut aider à déterminer si elle constitue une menace ou non. L’autre solution serait d’installer un antivirus pour renforcer la protection de votre terminal Android.
Source : blog Trend Micro
Et vous ?
Voir aussi :
Exemple d'une application contenant le code malicieux
Dans un billet de blog, Trend Micro explique que le malware, une fois installé sur le terminal, ne tente de rooter l’appareil que lorsque l’écran est éteint. Pour arriver à ses fins, il exploite un éventail de failles anonymes. Une fois qu’il arrive à rooter le smartphone, il installe des applications malveillantes qui prennent souvent la forme d’utilitaires à l’image de Summer Flashlight, ou des copies de jeux populaires. Du fait qu’elles sont considérées comme parties intégrantes du système, il devient difficile de les désinstaller par la suite.
Godless n’est qu’une résurgence d’un kit d’exploitation qui s’appuie sur android-rooting-tools, une bibliothèque open source pour administrer les appareils sous Android. « Ledit framework a divers exploits dans son arsenal qui peuvent être utilisés pour ‘rooter’ divers appareils Android », explique la firme de sécurité dans son billet de blog. « Les deux vulnérabilités les plus importantes ciblées par ce kit sont CVE-2015-3636 (utilisée par l’exploit PingPongRoot) et CVE-2014-3153 (utilisée par l’exploit Towelroot) ». Les cybercriminels profitent de ces vulnérabilités du fait qu’elles sont suffisamment obsolètes et peu connues dans le monde de la sécurité.
Une version plus récente du malware peut contourner les contrôles de sécurité de magasins d’applications comme Google Play. Trend Micro a confirmé avoir trouvé plusieurs applications contenant le code malicieux permettant d’introduire le malware. Quelques applications concernées sont sans menace, mais il existe des applications correspondant à ces dernières qui partagent le même certificat de développeur. Le danger réside dans la possibilité que l’utilisateur puisse être amené à installer une mise à jour infectée sans le savoir au-dessus de la version sans code malicieux.
L’autre facette du danger de Godless est la possibilité de recevoir des instructions des parties tierces pour installer des applications, ou exploiter des backdoors pour installer des spywares capables d’espionner l’appareil en toute discrétion. Le malware peut aussi se passer des permissions Android, (sauf dans Marshmallow 6.0) et installer un magasin d’applications alternatif qui remplace le Play Store. À partir de là, il peut installer des applications sponsorisées et falsifier les notes de certaines applications. Trend a notifié Google qui aurait déjà mis en place des mesures de protection contre les applications en question.
Distribution globale des terminaux infectés par pays
Jusqu’à ce jour, le malware aurait infecté plus de 850 000 terminaux dans le monde. En haut du classement, l’Inde est le pays le plus touché (plus de 46 % des terminaux infectés) devant les autres pays de la zone Asie. On peut noter aussi que les États-Unis (1,51 %) figurent dans le top 10 des pays les plus touchés.
Pour Trend Micro, l’utilisateur doit être vigilant lors de l’installation d’une application, ainsi vérifier les avis des utilisateurs et la notoriété de l’éditeur peut aider à déterminer si elle constitue une menace ou non. L’autre solution serait d’installer un antivirus pour renforcer la protection de votre terminal Android.
Source : blog Trend Micro
Et vous ?
Voir aussi :
-
damien27000Membre régulierSi tu as la langue du téléphone + géolocalisation alors tu affiches par exemple à un Français les hôtels Chinois à proximité (et en langue Française) qui se situent à proximité de lui en Chine.C'est stupide de balancer de la pub en Chinois à un Français sous prétexte qu'il se situe en Chine.
Mais en vérité tu peux faire de la géolocalisation sur smartphone sans demander les droits dans le manifeste avec juste... son IP.
Et les publicitaires vont plus loin que de la pub géolocalisé (ciblage fin, partage d'infos, remarketing...)le 24/06/2016 à 15:18 -
SquisquiEn attente de confirmation mailÇa veut dire quoi "peu connues" ? Ce sont des failles que Google connait mais qui ne sont pas documentées ? Des failles connues que Google ne corrige pas ? Une faille pleinement documentée mais non-révélée à Google ?le 23/06/2016 à 11:30
-
VolgaanMembre confirméTout à fait d'accord. Mais combien le font ? Les geeks et autres utilisateurs avertis le font certainement, mais quid de M. et Mme Tout-le-monde ? Par expérience, la plupart des utilisateurs se contente vaguement de regarder les captures d'écran puis installe l'application aussitôt après si elle paraît intéressante ou agréable. Les notes, les avis, la description, les permissions ? Bah c'est juste de la décorationl’utilisateur doit être vigilant lors de l’installation d’une application, ainsi vérifier les avis des utilisateurs et la notoriété de l’éditeur peut aider à déterminer si elle constitue une menace ou non.
C'est dingue comme les gens perdent tout esprit critique et logique dès que ça touche à l'informatique.
Mon conseil : lire la description, regarder la note moyenne et quelques uns des avis laissés et étudier attentivement les permissions demandées. Une lampe torche qui demande un accès aux contacts, à la position géographique de l'utilisateur, aux messages et un examen colorectal ? Soyons lucide un instant, ce n'est pas du tout normal
Bon par contre après il ne faut pas tomber dans la totale paranoïa et il est bien de connaître quelques particularités, car certaines permissions manquent de granularité : l'accès au "flash" de l'appareil demande la permission pour l'appareil photo, par exemple.le 23/06/2016 à 11:31 -
Aurelien.Regat-BarrelExpert éminent séniorCe titre ainsi formulé me donne l'impression de lire un magazine peopleCe malware peut secrètement rooter votre smartphone Android et installer des applications malicieusesle 23/06/2016 à 12:03
-
AoCannailleExpert confirméLa géolocalisation n'est pas si étrange que ça : elle sert pour localiser les publicités. Sur une application gratuite, on trouvera donc souvent la localisation rien que pour augmenter le coût des publicités.
Bon, on ne sais jamais si cela sert à autre chose ou pas par contre...le 23/06/2016 à 14:44 -
VolgaanMembre confirméOui tu as parfaitement raison. Sauf que... sauf que Google interdit de demander la localisation juste pour les publicités. La localisation ne doit être demandée que si la fonctionnalité est requise pour le fonctionnement de l'application. Dans ce cas, on peut aussi l'utiliser pour la publicité. Source :Je sais, peu respectent cette obligation dans les faitsOut of respect for user privacy, Google asks that you specify location only if that information is already being used by your app.
Par conséquent, la géolocalisation pour une lampe torche n'est pas quelque chose de tolérable, à moins qu'une killer-feature qui la requiert soit présente, ce dont je doutele 23/06/2016 à 15:06 -
VolgaanMembre confirméÇa peut paraître stupide, pourtant c'est ce qu'il se fait (très fréquemment). Les régies publicitaires sont très friandes de ce genre d'informations. Comment ils le traitent derrière et l'utilisent ensuite, ça fait partie de leur cuisine interne...le 24/06/2016 à 8:58
-
ChMePCandidat au ClubChecker les avis voire la note moyenne de l'appli afin de la juguer comme étant " APPLI SAIN " , ça je le trouve pas utile dans ce context parceque les déteneur de ces aplis sont averti à l'avance et manipulent les Reviews et les notes générale. Sans oublier que les novices qui constituent les 90% du marché se contente dans les meilleurs cas des screenshots !!le 28/06/2016 à 22:40
-
SquisquiEn attente de confirmation mailC'est stupide de balancer de la pub en Chinois à un Français sous prétexte qu'il se situe en Chine.
Le scénario n'est pas différent de ce que nous retrouvons sur PC. Les pubs clignotantes promettant monts et merveilles sur un logiciel inconnu est simplement remplacé par 99% des applications qui peuplent Google Play (l'Apple store ou le Windows store).
Perso', je conseillerais d'utiliser F-droid avant de chercher quoi que ce soit sur Google Play.le 23/06/2016 à 17:22