Passer au contenu

Trois minutes pour transformer une application Android en malware

Au cours d’une visite d’un centre de R&D de Symantec, un expert en sécurité nous a montré à quel point il est facile de « corrompre » une application pour en faire un malware. Une opération menée en moins de trois minutes.

Au dehors, une averse très irlandaise, à l’intérieur, au bout d’un vaste open space à l’accès sécurisé, un espace de démonstration. Nous sommes à proximité de Dublin, dans un des centres de R&D de Symantec.
Devant nous, Mario Ballano, ingénieur pour le géant de la sécurité, est là pour nous montrer comment transformer une application « normale » en application embarquant un malware. En guise de préambule, il nous est bien précisé que l’objectif de la démonstration n’est pas de dévaloriser la sécurité d’Android – « moins vulnérable dans l’ensemble qu’iOS » – ou celle du Google Play – qui s’est d’ailleurs beaucoup renforcée avec la mise en place du bouncer. Son intérêt est de rappeler que sur mobile, comme sur PC, il faut être prudent, adopter des réflexes basiques de sécurité, comme se rendre sur les stores officiels, se défier des différentes versions de ce qui semble être une même application et ne pas donner tous les droits à un programme, les yeux fermés.

Trois minutes chrono

Pour des raisons évidentes de sécurité, la démonstration recourt à une version « locale » du kiosque de Google. Après avoir lancé un navigateur, Mario Bellano se retrouve sur la version maison du Google Play et jette son dévolu sur un jeu. Il le télécharge. Son but va être de glisser un malware, découvert en décembre 2010 appelé Android.Genimi, à l’intérieur de l’application pour ensuite la resoumettre en ligne, ni vu ni connu.

Une fois l’APK (Android application package) récupéré, il utilise un outil pour l’« unpacker », c’est-à-dire ouvrir le paquetage qu’est l’application. Cela ne prend pas plus de 30 secondes. Il va ensuite copier-coller le code correspondant au malware et le masquer. Comptez une minute de plus, car il a pris la précaution de masquer le code.
Mario Bellano va alors entreprendre de reconstruire l’application. Un processus automatisé, qui ne prend pas très longtemps. Disons 30 secondes pour une petite application, comme c’est le cas. Ne lui reste alors plus qu’à signer le APK. C’est fait ! L’opération, téléchargement compris, n’a pas pris plus de trois minutes et même un peu moins si on décompte les quelques fois où l’expert s’est arrêté pour expliquer ce qu’il faisait.

Diffusion tout azimut

Une fois que l’application a retrouvé une apparence normale, il s’empresse de la soumettre sur un Store tiers. S’il était possible de le faire aisément sur le Google Play il y a quelques années, ce n’est désormais plus aussi facile. Même si certains « pirates » n’hésitent pas, une fois l’application mal intentionnée débusquée et rejetée, à la resoumettre avec une autre identité de développeurs. Certains ayant plus de 3 000 comptes commentait un directeur de recherche de Symantec. Mais peu importe, le cercle vicieux est initié. Les magasins applicatifs tiers concurrents vont ajouter l’application à leur annuaire et ainsi contribuer à sa distribution.

Différences de droits

Extérieurement, les deux versions du jeu, toutes deux jouables, se distinguent par au moins deux points. Le premier est son nom. La version « piratée » est parée d’un « Free » des plus attirants. Le second tient dans les droits d’exécution requis par l’application.

Tous les programmes doivent posséder des droits, plus ou moins restreints : accéder au carnet d’adresses, à l’appareil photo, à la fonction téléphone, etc. Le premier jeu n’avait aucun droit particulier, si ce n’est celui de fonctionner. Le jeu « corrompu » a tous les droits. Encore faut-il que l’utilisateur l’accepte. Comme le dit bien Mario Bellano, le dernier rempart est alors l’utilisateur qui va devoir valider ces droits, un par un. « Mais généralement, on les passe en s’impatientant parce qu’on veut jouer », plaisante-t-il en tapotant le bouton de validation sans lire les messages à l’écran.

Moins de cinq minutes pour tout contrôler

Dès lors le malware va s’exécuter en tant que service, en toile de fond, sans que l’utilisateur en soit conscient. Pour faire la démonstration de ces possibilités et contrôler le smartphone contaminé, Mario Bellano utilise un logiciel à l’interface plutôt agréable et facile à appréhender. Au point qu’avec un peu de temps, on peut se dire que n’importe qui pourrait le faire.
Justement sur l’interface de contrôle, on voit des informations s’afficher en temps réel. Il est même possible de demander davantage d’informations que celles fournies par défaut, comme la géolocalisation, par exemple. Evidemment, l’intérêt est également de pouvoir déclencher des actions à distance. Le pirate a d’ailleurs les pleins pouvoirs ou presque. Il pourra ainsi « émettre des appels, prendre des photos à votre insu ou envoyer des SMS »… vers des services surtaxés, énumère Mario Bellano, avant de s’arrêter. « On peut même changer le fond d’écran », ajoute-t-il en haussant un peu les épaules. Voir son beau fond d’écran remplacer par une photo de Justin Bieber, quoi de pire ?

A lire aussi :
Une faille Android permet d’installer des malwares dormants sur tous les terminaux – 26/03/2014

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine