Des publicités malveillantes détectées sur Android Quand le malware se télécharge de lui-même sur le téléphone
juin 2017 par Zscaler
Il y a quelques jours, l’équipe du Threatlabz Zscaler a identifié une application Android se téléchargeant d’elle-même à partir de publicités postées sur des forums. Le malvertising[i] est un problème qui ne cesse de prendre de l’ampleur. Ces publicités se retrouvent principalement sur des sites SSL à visée malveillante. Sur l’un de ces forums baptisé « GodLike Productions », les visiteurs se sont plaint d’une application se téléchargeant automatiquement mais leurs messages ont été supprimés ou ignorés par les administrateurs permettant à la situation de se perpétuer. Dans ce cas particulier, l’App se présente sous la forme d’une « mise à jour sécurité » afin que l’utilisateur termine son installation.
Par Yogi Chandiramani, Directeur Technique EMEA, Zscaler
Une fois le package APK téléchargé et installé, l’application se présente sous le nom de « KS Clean », une application de nettoyage Android.
L’application affiche ensuite un faux message de mise à jour système où la seule option possible est de cliquer sur le bouton « OK » forçant ainsi l’usager à accepter le message
Dès que ce dernier accepte, le malware lance l’installation d’un autre APK nommé Update. Lorsqu’elle est ouverte, l’App Update demande les droits d’administration. Une fois les droits obtenus, il est impossible de désinstaller l’application de l’appareil car un utilisateur ne peut pas supprimer une app ayant des droits d’administration. Habituellement, il est possible de retirer les privilèges à l’application dans les paramètres mais dans ce cas de figure, l’app se fait passer pour un récepteur Android pour garder ses privilèges.
Cette vidéo (activer les sous-titres en amont) montre la manière dont le téléphone se bloque lorsque la victime essaie de retirer les privilèges administrateur de l’application.
Cette App est capable de :
– Lire/Ecrire l’historique
– Installer/Désinstaller des fichiers système
– Changer les permissions
– Télécharger sans autorisation
Voici quelques exemples de publicités contenant l’application malveillante :
Conclusion
L’application effraie l’utilisateur en lui faisant croire qu’il y a une faille de sécurité sur son appareil et qu’il doit faire une mise à jour pour éviter de perdre ses informations personnelles. Lorsqu’elle est installée, l’App ne peut plus être supprimée et le malware peut pousser des publicités même si une autre App est déjà lancée.
Zscaler surveille activement cette campagne de malware pour s’assurer que tous ses clients sont protégés. Les utilisateurs Android peuvent prendre les mesures suivantes pour éviter d’être atteints par cette menace :
– Ne pas cliquer sur des liens inconnus
– Désactiver les « sources inconnues »
– Désactiver le téléchargement automatique dans les navigateurs Android