Android: des malwares non supprimables sur 15% des appareils

Une bonne partie d’utilisateurs d’Android ciblés par des logiciels malveillants ont subi une infection de la partition système, ce qui rend les fichiers malveillants pratiquement non supprimables.

C’est selon une étude de Kaspersky, qui a révélé que 14,8% des utilisateurs Android qui ont subi de telles attaques se sont retrouvés avec des fichiers non supprimables. Celles-ci vont des chevaux de Troie qui peuvent installer et exécuter des applications à l’insu de l’utilisateur, aux applications publicitaires moins menaçantes, mais néanmoins intrusives.

“Une infection de partition système comporte un niveau de risque élevé pour les utilisateurs d’appareils Android infectés, car une solution de sécurité ne peut pas accéder aux répertoires système, ce qui signifie qu’elle ne peut pas supprimer les fichiers malveillants”, a expliqué la firme dans un communiqué.

De plus, la recherche a révélé que la plupart des appareils Android hébergent des applications préinstallées par défaut qui sont également non supprimables – le nombre d’utilisateurs concernés varie de 1 à 5% pour les utilisateurs d’appareils bon marché et atteint 27% dans les cas extrêmes.

“L’infection peut se produire via deux voies: la menace obtient un accès root sur un appareil Android et installe un logiciel de publicité dans la partition système, ou le code d’affichage des publicités pénètre dans le micrologiciel de l’appareil avant même qu’il ne finisse entre les mains du consommateur”, selon Kaspersky.

Dans ce dernier scénario, cela pourrait entraîner des conséquences potentiellement indésirables et imprévues. Par exemple, de nombreux smartphones Android ont des fonctions permettant d’accéder à distance à l’appareil. Si elle est exploitée, une telle fonctionnalité pourrait conduire à une compromission des données de l’appareil d’un utilisateur.

Des applications Android malveillantes et non-voulues

Parmi les types de logiciels malveillants les plus courants que Kaspersky a trouvés installés dans la partition système des smartphones Android figurent deux menaces plus anciennes: les chevaux de Troie Lezok et Triada.

“Ce dernier est connu pour son code publicitaire intégré non seulement n’importe où, mais directement dans libandroid_runtime – une bibliothèque de clés utilisée par presque toutes les applications sur l’appareil Android”, selon l’analyse.

Cependant, l’examen des applications système des victimes a révélé un large éventail de menaces.

Le cheval de Troie Agent, par exemple, est un malware qui se cache généralement dans l’application qui gère l’interface graphique du système, ou dans l’utilitaire Paramètres, sans lequel le smartphone ne peut pas fonctionner correctement. Le malware dépose son payload, qui à son tour peut télécharger et exécuter des fichiers arbitraires sur l’appareil.

Ensuite, il y a le cheval de Troie Sivu, qui est un dropper se faisant passer pour une application HTMLViewer.

«Le malware se compose de deux modules et peut utiliser les autorisations root sur l’appareil», selon Kaspersky. «Le premier module affiche des annonces au-dessus d’autres fenêtres et dans les notifications. Le deuxième module est une porte dérobée permettant le contrôle à distance du smartphone. Ses capacités incluent l’installation, la désinstallation et l’exécution d’applications, qui peuvent être utilisées pour installer secrètement des applications légitimes et malveillantes, en fonction des objectifs de l’intrus. »

android sdk

L’application de logiciel publicitaire Plague est une autre menace courante que Kaspersky a trouvée installée dans la partition système. Le malware prétend être un service système légitime, s’appelant Android Services – mais en réalité, il peut télécharger et installer des applications à l’insu de l’utilisateur, ainsi que placer des publicités dans les notifications.

“De plus, Plague.f peut afficher des annonces dans SYSTEM_ALERT_WINDOW – une fenêtre pop-up qui se trouve au-dessus de toutes les applications”, ont expliqué les chercheurs.

Le cheval de Troie Necro.d est inhabituel, car il s’agit d’une bibliothèque native située dans le répertoire système. Son mécanisme de lancement est intégré dans une autre bibliothèque système, libandroid_servers.so, qui gère le fonctionnement des services Android.

“Sous les ordres du serveur de commande et de contrôle (C2), Necro.d peut télécharger, installer, désinstaller et exécuter des applications”, ont expliqué les chercheurs. «De plus, les développeurs ont décidé de se laisser une porte dérobée pour exécuter des commandes shell arbitraires. En plus de cela, Necro.d peut télécharger l’utilitaire de droits de superutilisateur Kingroot – apparemment pour que le système de sécurité du système d’exploitation n’interfère pas avec la livraison de contenu «très important» pour l’utilisateur. »

Penguin, Facmod, Guerrilla, Virtualinst et Secretad se trouvent également souvent sur les partitions système des appareils mobiles.

android

Quant aux logiciels publicitaires préinstallés, certains appareils sont livrés avec une application appelée «AppStore», qui, selon les chercheurs de Kaspersky, semble être un logiciel publicitaire caché capable d’opérer sans se faire détecter et de s’afficher dans des fenêtres invisibles. Les chercheurs ont souligné que cela consomme des données et de la batterie, mais l’application peut également télécharger et exécuter du code JavaScript tiers.

“Notre analyse démontre que les utilisateurs mobiles sont non seulement régulièrement attaqués par des logiciels publicitaires et d’autres menaces, mais que leur appareil peut également être en danger avant même de l’acheter”, a déclaré Igor Golovin, chercheur en sécurité chez Kaspersky, dans un communiqué de presse. “Les clients ne soupçonnent même pas qu’ils dépensent leur argent sur un panneau d’affichage de poche. Certains fournisseurs d’appareils mobiles se concentrent sur la maximisation des bénéfices grâce aux outils publicitaires intégrés à l’appareil, même si ces outils gênent les propriétaires de ces appareils. »

Dans le cas des téléphones avec des logiciels publicitaires préinstallés (Kaspersky a déclaré que les appareils Meizu faisaient partie des accusés), les utilisateurs ne peuvent absolument rien faire.

“Malheureusement, si un utilisateur achète un appareil avec une telle publicité préinstallée, il est souvent impossible de le retirer sans risquer d’endommager le système”, a déclaré le chercheur de Kaspersky, Igor Golovin. «Dans ce cas, tous les espoirs reposent sur des passionnés qui sont occupés à créer un firmware alternatif pour les appareils. Mais il est important de comprendre que le reflashing peut annuler la garantie et même endommager l’appareil. “

Il a ajouté: «Je conseille aux utilisateurs d’examiner attentivement le modèle de smartphone qu’ils souhaitent acheter et de prendre en compte ces risques. En fin de compte, c’est souvent un choix entre un appareil moins cher ou un appareil plus convivial. »

Si cet article vous a plu, jetez un œil à notre article précédent.