L’écosystème Android est confronté à une nouvelle vague de malwares particulièrement astucieux. Ils exploitent une faille dans la gestion du multitâche d’Android, qui leur permet de s’insérer — ni vu ni connu — dans le déroulement de pratiquement n’importe quelle application et, ainsi, d’usurper son identité. Ce qui ouvre la porte à un grand nombre de scénarios. Les pirates peuvent ainsi augmenter leurs privilèges d’accès, voler des identifiants, enregistrer des conversations, prendre des photos à l’insu de l’utilisateur, géolocaliser l’appareil, lire les SMS, siphonner le carnet d’adresses, etc.
De l’argent disparaissait des comptes
Les chercheurs des sociétés Promon et Lookout ont détecté au moins 36 malwares qui utilisent cette faille pour pirater les utilisateurs, et notamment leurs données bancaires. C’est ce qui est arrivé récemment aux utilisateurs de certaines banques tchèques, qui ont vu de l’argent disparaître de leurs comptes.
Certains de ces malwares sont actifs depuis au moins 2017. Aucun d’entre eux n’était disponible directement sur Google Play. En revanche, certaines applications présentes dans cette boutique installaient ces logiciels à l’insu de l’utilisateur. Ces « downloaders » malveillants ont depuis été éjectés du magasin. Malheureusement, la faille existe toujours dans toutes les versions d’Android. Ce n’est donc qu’une question de temps avant que ces malwares ne réapparaissent.
Le fond du problème est lié au design que Google a choisi pour gérer le multitâche sur Android. Quand on lance une application, une « tâche » est créée en mémoire. À chaque fois que l’on navigue sur un nouvel écran de l’application, une nouvelle « activité » est empilée dans cette tâche. Si l’on revient en arrière, elle est détruite. Si l’utilisateur change d’application, cette pile d’activités est conservée en mémoire, ce qui lui permet de retrouver le fil de sa navigation s’il y revient. Ce qui est très pratique. Or, les tâches peuvent aussi empiler les activités provenant d’une autre application. C’est ce qui arrive, par exemple, quand on lance le navigateur depuis la messagerie.
Une voie royale pour tromper l’utilisateur
En utilisant de manière astucieuse ce référencement croisé, les pirates parviennent à insérer des activités malveillantes dans les tâches d’applications légitimes. Pour peu que ces activités reproduisent fidèlement l’allure et le graphisme du logiciel ciblé, les utilisateurs ne se rendent compte de rien et acceptent assez facilement des demandes de droits d’accès ou des demandes de connexion.
Pour Google, ces attaques ne sont probablement pas une surprise. En 2015, des chercheurs de l’université de Pennsylvanie avaient déjà montré que la gestion du multitâche d’Android permettait ce type d’attaques. À l’époque, Google ne s’en était pas préoccupé, estimant que le risque était minime. Mais visiblement, il ne l’était pas. Il faut espérer que le géant informatique change son avis sur la question et ajoute, enfin, des mesures de protection.
Source: Promon
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
