Avast explique que le logiciel malveillant, appelé Cosiloon, effectue une superposition afin d’afficher une publicité sur une page Web dans le navigateur des utilisateurs. Le logiciel publicitaire est actif depuis au moins trois ans et est difficile à supprimer car il est installé au niveau du firmware et utilise une obfuscation forte. Des milliers d'utilisateurs sont concernés et le mois dernier, Avast assure avoir vu la dernière version de l'adware sur environ 18 000 appareils appartenant à des utilisateurs Avast situés dans plus de 100 pays, dont la Russie, l'Italie, l'Allemagne, le Royaume-Uni et même aux Etats-Unis
Le spécialiste a expliqué avoir des échantillons Android étranges qui arrivent dans sa base de données de temps en temps depuis quelques années déjà. Les échantillons semblaient être comme n'importe quel autre échantillon d'adware, à l'exception du fait que l'adware semblait n'avoir aucun point d'infection et disposait de plusieurs noms de paquets similaires, les plus communs étant:
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
« Récemment, un des échantillons s’est distingué dans nos statistiques de détection après que notre plateforme d'intelligence de menace d'apk.io l'ait marquée comme étant un malware. C’est alors que nous avons commencé à creuser. Il s'avère que ces paquets de logiciels publicitaires ne sont que des charges utiles supprimées d'une application système préinstallée par le fabricant sur une quantité surprenante de divers appareils. Ce qui est encore plus surprenant est que le premier échantillon de l’injecteur, qui est une application qui télécharge d'autres applications malveillantes, que nous avons à notre disposition date de janvier 2015 et a été préinstallé sur une tablette à faible coût vendue en Pologne. De plus, les dates sur les fichiers à l'intérieur du fichier APK le plus ancien dont nous disposons remontent à quelques années ; certaines sont datées du 1er janvier 2016 et d’autres du 7 mars 2013. Cette famille d'adware a également de nombreuses variantes de charge utile et de l’injecteur, indiquant un développement continu », explique l’entreprise.
Analyse de l’application
L’ensemble est composé de deux fichiers APK distincts; de l’injecteur et de la charge utile.
L’injecteur est une petite application sans obfuscation, située sur la partition /system des périphériques affectés. L'application est complètement passive, visible uniquement par l'utilisateur dans la liste des applications système sous "Paramètres". Avast a observé des injecteurs avec deux noms différents, "CrashService" et "ImeMess". L’entreprise assure qu’il en existe plusieurs versions, toutes partageant le même comportement de base:
- Ils téléchargent un manifeste à partir de http://www.cosiloon.com/version.xml lorsque l'appareil est connecté au Wi-Fi. Différents sous-domaines (abc, abd) et différents noms de fichiers (version_2.xml, version_3.xml, information.xml) sont également utilisés, vraisemblablement pour le débogage.
Le manifeste XML contient des informations sur les éléments à télécharger, les services à démarrer et contient une liste blanche programmée pour exclure potentiellement des pays et des périphériques spécifiques de l'infection. Mais Avast n’a pas pu voir la liste blanche des pays qui a été utilisée, et seulement quelques périphériques ont été ajoutés à la liste blanche dans les premières versions. - Ensuite, l’injecteur installe une charge utile à partir d'une URL. L’injecteur télécharge un fichier APK d'un <url> trouvé dans le manifeste (il change de version en version) dans / sdcard / Download / <nom> puis installe l'APK via la commande pm install, la commande standard pour installer des applications sur Android dispositifs.
- Enfin, l’injecteur démarre le service de charge utile. Les entrées <startupX> du manifeste sont utilisées pour démarrer les services de la charge utile. Cette étape est répétée chaque fois que le téléphone démarre.
Avast a trouvé au moins huit variations de code différentes de l’injecteur avec de nombreuses signatures différentes. Les fonctions de base de toutes les variantes sont les mêmes, avec quelques différences subtiles dans les URL codées en dur et la prise en charge de packages de logiciels malveillants pré-installés supplémentaires. Dans l'ensemble, il s'agit d'un injecteur simple et flexible qui fonctionne bien, tant que les auteurs ont le contrôle du domaine codé en dur, et peuvent garder l'URL opérationnelle
Utilisateurs concernés
Par pays
Selon les statistiques d’Avast, les utilisateurs dans plus de 90 pays sont touchés. Les dix pays qui ont été les plus touchés au cours du dernier mois sont la Russie, l'Italie, l'Allemagne, le Royaume-Uni, l'Ukraine, le Portugal, le Venezuela, la Grèce, la France et la Roumanie.
Par dispositifs
Plusieurs centaines de dispositifs différents sont affectés. Les appareils affectés portent généralement un chipset Mediatek et sont pour la plupart des tablettes à faible coût. Une liste des appareils vulnérables est disponible et comprend des appareils de marques Archos, ZTE, myPhone et Prestigio. Les appareils exécutent différentes versions d'Android allant de 4.2 à 6.0.
Cependant, Avast assure que ce ne sont pas tous les dispositifs présents sur la liste qui sont affectés « car chaque modèle possède d'innombrables variantes de micrologiciel (par exemple pour différents pays et différents opérateurs) et seules quelques variations d'un périphérique peuvent être affectées, ou peut-être une version ROM personnalisée avait l’injecteur. Cette liste contient simplement des modèles d'appareils sur lesquels nous avons repéré la charge utile au moins une fois dans son chemin <downloads> / Temp, qui est le chemin vers lequel le système télécharge la charge avant de l'installer, et la charge utile a également été installée sur le même périphérique ». .
Conclusion
Il ne s'agit malheureusement pas d'un cas isolé. En effet, l’équipe Check Point Mobile Security a découvert en mars un malware ciblant près de 5 millions d’utilisateurs qui était destiné à générer frauduleusement des revenus publicitaires pour le compte des pirates. Selon les chercheurs, le logiciel malveillant se fait passer pour une application Wi-Fi inoffensive. Découvert sur un smartphone Xiaomi Redmi, Rottensys serait introduit sur 5 millions de modèles depuis l’usine de Tian Pai, à Hangzhou, en Chine. Les smartphones des marques Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et GIONEE sont concernés. Et ce n'est qu'un exemple parmi plusieurs de smartphones infectés par un logiciel malveillant dès la sortie d'usine.
Liste des dispositifs vulnérables
Source : Avast
Et vous ?
Que vous suggère cette découverte ?
Votre smartphone (ou votre tablette) figure-t-il sur la liste ?
Voir aussi :
RPT-CP1 : la nouvelle tablette E-Ink de Sony à 600 dollars, qui intègre le partage de fichiers avec iOS, Android, Windows et Mac
RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google, jusqu'à la sortie du nouveau SDK de Google
Sécurité : l'application Android de Facebook requiert les privilèges de super utilisateur, d'après des signalements
Android : la nouvelle politique de sécurité de Google imposera des mises à jour régulières, les fabricants de téléphones devraient s'y conformer
Google lance la troisième version bêta de Flutter, son kit de développement d'applications Android et iOS peut désormais être utilisé en production