Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avast : les appareils Android livrés avec des malwares pré-installés

mai 2018 par Avast

Le Threat Labs d’Avast a analysé un adware mobile pré-installé sur des milliers de
nouveaux téléphones Android à travers le monde.

Le Threat Labs d’Avast a découvert un adware pré-installé sur plusieurs centaines de
modèles et de versions d’appareils Android différents, y compris ceux fabriqués par
ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés
par Google
. Le logiciel publicitaire en question
porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce
sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont
touchés, et le mois dernier, Avast a identifié la dernière version de l’adware sur
environ 18 000 appareils appartenant aux utilisateurs Avast situés dans plus de 100
pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie
parmi d’autres, ainsi que quelques cas aux Etats-Unis.

L’adware, déjà analysé par Dr.Web, est
actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet
installé au niveau du firmware (ou micrologiciel) et utilise un code rendu
impénétrable par procédé d’offuscation. Le Threat Labs d’Avast est en contact avec
Google, conscient du problème. Le géant du Web a ainsi pris des mesures pour
atténuer les capacités malveillantes de nombreuses variantes d’applications sur
plusieurs modèles d’appareils, en exploitant des techniques développées en interne.

Google Play Protect a été mis à jour pour garantir la protection de ces applications
à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le
problème reste donc difficile à résoudre. Google a contacté les développeurs de
micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y
remédier.

Identifier Cosiloon

Au cours des dernières années, le Threat Labs d’Avast a régulièrement observé des
échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient
à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer
de point d’infection et présentait plusieurs noms de packages similaires, les plus
communs étant :
* com.google.eMediaService
* com.google.eMusic1Service
* com.google.ePlay3Service
* com.google.eVideo2Service

La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas
claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs
ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants
ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou
dropper, en anglais), également appelé « programme seringue » ou « virus
compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système
cible.

Certaines applications antivirus signalent les charges utiles, mais l’injecteur les
ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal
aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle
application. Le Threat Labs d’Avast a par ailleurs noté que l’adware permet
d’installer le dropper sur les appareils, mais il est également en mesure de
télécharger facilement un logiciel espion, un ransomware ou tout autre type de
menace.

Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en
envoyant des demandes de retrait au registraire de noms de domaines et aux
fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et
désactivé le serveur, mais il a été restauré après un certain temps par le biais
d’un autre fournisseur. Le registraire n’a lui pas donné suite à la demande d’Avast,
ce qui signifie que le serveur fonctionne toujours.

« Les applications malveillantes peuvent malheureusement être installées au niveau
du firmware avant d’être envoyées aux consommateurs, probablement à l’insu du
fabricant, confie Nikolaos Chrysaidos, Head of Mobile Threat Intelligence &
Security, chez Avast. Si une application est effectivement installée au niveau du
firmware, elle est très difficile à supprimer. La collaboration entre les
fournisseurs de sécurité, Google et les fabricants d’équipements d’origine (FEO) est
donc primordiale. Ensemble, nous pouvons garantir un écosystème plus sûr pour les
utilisateurs d’Android. »

La solution Avast Mobile Security peut détecter et désinstaller la charge utile,
mais elle ne peut pas acquérir les autorisations requises pour désactiver le
dropper. Google Play Protect doit donc prendre en charge cette lourde fonction. Si
un appareil est infecté, le dropper et la charge utile doivent automatiquement être
désactivés. Avast sait que cela fonctionne car le Threat Labs a observé une baisse
du nombre d’appareils infectés par les nouvelles versions de charge utiles une fois
que Play Protect a commencé à détecter Cosiloon.

Désactiver Cosiloon

Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « 
CrashService », « meMess » ou « Terminal » avec l’icône d’Android), et cliquer sur
le bouton « désactiver » sur la page des applications, si disponible (selon la
version Android). Cela désactivera l’injecteur qui ne reviendra pas une fois
qu’Avast aura supprimé la charge utile.

Avast Mobile Security peut être téléchargé gratuitement sur Google Play Store. Avast travaille également avec des opérateurs de téléphonie mobile du monde entier, y compris les quatre principaux aux Etats-Unis, afin de protéger les utilisateurs des menaces sur mobiles.


Voir les articles précédents

    

Voir les articles suivants