Sécurité

Un nouveau logiciel publicitaire Android repéré chargé d’exploits root – mais vous êtes plus en sécurité que vous ne le pensez

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Un nouveau morceau de Android des logiciels malveillants auraient fait le tour de pas moins de 20 pays différents, et si l’on en croit la société de sécurité FireEye, c’est un morceau de code assez méchant. L’exploit, connu sous le nom de Kemoge, a été repéré en se faisant passer pour un certain nombre d’applications légitimes, mais lors de l’installation, il tente d’obtenir un accès root sur l’appareil, ce qui pourrait permettre à un attaquant de prendre le contrôle complet. Cela sonne mal, mais comme d’habitude, la vérité est un peu moins sensationnelle qu’ils ne le font croire.

Kemoge est une forme de logiciel publicitaire malveillant, selon à FireEye. Il emprunte les icônes d’autres applications pour encourager un utilisateur à lui faire confiance. Le premier obstacle à surmonter pour les auteurs de logiciels malveillants est en fait d’amener les utilisateurs à installer l’application, ce qui n’est possible que via une boutique d’applications tierce. Cela signifie que l’utilisateur doit télécharger l’APK, autoriser les sources inconnues dans les paramètres de sécurité, puis lancer le package. Pas exactement un processus facile.

La façon dont Kemoge fonctionne lorsqu’il est déployé sur un appareil vulnérable est en fait assez intelligente. Il copie les informations de l’appareil et les renvoie d’abord à un serveur de commande et de contrôle, puis il commence à insérer des publicités dans l’interface utilisateur, qui peuvent apparaître dans n’importe quelle application ou même sur l’écran d’accueil. C’est donc ennuyeux, mais ce qu’il fait ensuite est carrément malveillant. Kemoge contient jusqu’à huit exploits, qui tentent de rooter l’appareil. Cela pourrait donner à l’attaquant un contrôle total sur un téléphone infecté. Si l’appareil infecté est rooté, Kemoge désinstalle immédiatement toutes les applications antivirus qu’il trouve. L’exception serait Google Play Services, qui exécute les analyses antivirus de Google. Il est impossible de supprimer Play Services d’un appareil (même avec root) si vous voulez toujours que quelque chose fonctionne.

Psssssst :  Subgraph OS : Un Linux sécurisé pour l'utilisateur non technique ? - ExtrêmeTech

kemoge

Avez-vous suffisamment peur maintenant ? Ce qui est décrit ci-dessus est vraiment le pire scénario. L’aspect logiciel publicitaire de Kemoge devrait fonctionner sur presque tous les appareils, en supposant que vous vous donniez la peine de l’installer manuellement. Cependant, l’angle de racine est beaucoup moins certain. FireEye répertorie plusieurs des exploits racine contenus dans Kemoge, et ils sont tous assez anciens. Il y a Motochopper, mempodroid et quelques vulnérabilités générales du noyau Linux. Ce sont des reliques de l’époque où un APK pouvait être utilisé pour rooter votre téléphone. Toutes les versions modernes d’Android doivent être corrigées pour se protéger contre ces défauts. Les tests ont été effectués avec un Nexus 7 sous Android 4.3 (logiciel d’il y a plus de deux ans).

Les exploits root sont difficiles à développer sur Android de nos jours, mais ils ne sont pas toujours conçus pour être malware. De nombreux utilisateurs d’Android veulent un accès root pour leur propre usage, et c’est de là que proviennent de nombreux exploits utilisés par Kemoge – la communauté des passionnés. De nombreux appareils actuellement sur le marché n’ont même pas d’exploits root fonctionnels pour les personnes qui vouloir pour rooter leurs téléphones, il est donc peu probable que Kemoge ait un exploit magique inédit qui puisse rooter votre téléphone.

En bout de ligne – les anciennes méthodes root utilisées par Kemoge ne fonctionnent pas sur les téléphones populaires ou les gens les utiliseraient pour rooter intentionnellement leurs appareils. Nous avons contacté FireEye pour obtenir des éclaircissements sur les versions d’Android sur lesquelles ils ont confirmé l’accès root et nous mettrons à jour quand et s’ils répondent.

Psssssst :  Oracle tue enfin le plug-in de navigateur Java - High-teK.ca

Votre première ligne de défense contre les attaques de logiciels publicitaires comme celle-ci consiste simplement à obtenir vos applications sur le Play Store ou à partir d’une source fiable comme F-Droïde ou Miroir APK. Lorsque vous actionnez le commutateur de sources inconnues, vous êtes instantanément moins en sécurité.

Mise à jour: FireEye s’est remis à utiliser et a précisé que tous les exploits qu’il a détectés dans kemoge sont publics et vieux de plusieurs années (2013 et antérieurs). Ils devraient être corrigés sur tous les nouveaux téléphones.

Bouton retour en haut de la page