Les chercheurs de McAfee ont découvert une nouvelle campagne malveillante visant les smartphones Android. Baptisée Operation NoVoice, la campagne repose sur plus de 50 applications Android vérolées. Ces applications malveillantes sont parvenues à contourner les mécanismes de sécurité de Google pour envahir le Play Store. Sur la boutique, les applications ont cumulé plus de 2,3 millions de téléchargements. Elles étaient « déguisées en outils du quotidien comme des nettoyeurs, des jeux ou des utilitaires photo
», explique le rapport.
À lire aussi : 25 % des smartphones Android en danger – une faille critique a été découverte dans des puces MediaTek
Une attaque calibrée avec précision
Une fois installée, l’application semble fonctionner normalement, sans signe visible d’activité malveillante pour l’utilisateur. En coulisses, l’app va entrer en contact avec un serveur informatique sous le contrôle des cybercriminels. C’est ce serveur qui va transmettre des instructions à l’application. Dans un premier temps, l’application va recueillir des informations techniques sur l’appareil, comme la version d’Android ou le niveau de correctifs de sécurité. Récupérées par les pirates, ces informations vont leur permettre de calibrer la suite de l’offensive. Le serveur renvoie ensuite un code d’exploitation malveillant sur mesure, spécialement adapté au smartphone ciblé.
Une fois que le code d’exploitation a été exécuté, le virus caché dans l’application frauduleuse va obtenir des privilèges système très élevés sur le smartphone. Le virus peut alors installer des composants supplémentaires et modifier certaines parties du système Android lui‑même, sans demander l’accord de l’utilisateur. Il modifie alors une bibliothèque système centrale sur laquelle s’appuient toutes les applications du téléphone. Cette astuce permet d’exécuter du code à l’intérieur de n’importe quelle application ouverte par l’utilisateur, qu’il s’agisse de messageries, d’applications bancaires ou de réseaux sociaux. C’est évidemment la porte ouverte à tous les abus. En l’occurrence, le malware se sert surtout de l’accès pour obtenir des données sensibles, comme des coordonnées bancaires.
Une « forme d’infection très persistante »
Comme l’explique McAfee, le malware est particulièrement récalcitrant. Le virus peut en effet survivre à une réinitialisation d’usine du smartphone. Cette opération consiste à restaurer un smartphone Android à son état logiciel d’origine. En théorie, le procédé garantit qu’aucun logiciel malveillant ne persiste sur la machine. Pour résister à la réinitialisation, le virus s’est retranché dans des zones du système que ce type de réinitialisation ne touche pas.
Pour éradiquer complètement la menace, McAfee estime qu’il faut réinstaller le firmware du terminal, ce qui n’est pas à la portée de n’importe quel utilisateur. Les chercheurs parlent d’une « forme d’infection très persistante ». En fait, le malware « se comporte comme une sorte de “zombie” numérique, qui continue à fonctionner en arrière-plan même après une remise à zéro ».
À lire aussi : Fuite sur le Play Store – une app Android a exposé 2 millions de photos et de vidéos par erreur
De l’importance des mises à jour Android
Les chercheurs précisent que les smartphones Android récents et à jour ne sont pas vulnérables. Seuls les terminaux Android anciens ou dépourvus de mises à jour récentes sont dans le viseur des cybercriminels. C’est pourquoi il est essentiel d’installer scrupuleusement toutes les mises à jour de sécurité qui sont déployées. Alerté par McAfee, Google a promptement retiré toutes les applications vérolées de sa plateforme. McAfee recommande de redoubler de prudence lorsque vous parcourez le Play Store à la recherche d’une application. L’éditeur américain conseille également de faire le tri dans sa liste d’applications et de supprimer les apps inconnues ou inutilisées.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : McAfee
