Le malware CopyCat a pu infecter 14 millions de vieux appareils Android avant suppression

Le malware CopyCat a pu infecter 14 millions de vieux appareils Android avant suppression

Vieux androïdes rouillés...

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

07/07/2017 7 minutes
20

Le malware CopyCat a pu infecter 14 millions de vieux appareils Android avant suppression

La société de sécurité Check Point a publié hier un long article faisant état d’une immense campagne de malware sur Android qui aurait abouti à la contamination de 14 millions d’appareils. Un cas qui rappelle encore une fois le vrai problème posé par les smartphones n’étant plus mis à jour.

La boutique de Google, comme nous l’avons rappelé récemment, n’est pas une protection absolue quand il s’agit de lutter contre les malwares. Il arrive régulièrement qu’un petit code vérolé se glisse à travers les défenses. La firme surveille cependant de manière constante ce qui transite dans ses services et finit en général par mettre la main sur les intrus.

Mais Android permet également d’activer le téléchargement et l’installation d’applications depuis des sources tierces. Comprendre, en dehors du Store. Une liberté qui n’existe pas sur iOS et Windows 10 Mobile (du moins pas de manière simple). Elle s’accompagne néanmoins d’un risque : celui de récupérer des applications qui ont soit été infectées par des malwares, soit sont des malwares déguisés. C’est précisément ce qui s’est passé avec CopyCat.

Un travail de sape sur les défenses du système

CopyCat est le nom donné par Check Point au malware qui aurait infecté pas moins de 14 millions d’appareils mobiles sous Android. Sur cette masse, plus de la moitié (8 millions) a été rootée par le malware, 3,8 millions ont été utilisés pour diffuser des publicités et 4,4 millions ont détourné celles d’applications figurant dans le Play Store. L’objectif financier ressort ainsi clairement.

CopyCat prend, selon Check Point, la forme d’une application authentique, ce qu’elle n’est évidemment pas. Une fois installée, elle commence par réunir des informations techniques sur l’appareil, les transmet à un serveur puis récupère en échange un ou plusieurs rootkits qui vont l’aider à rester caché.

L’étape cruciale vient après. CopyCat injecte en effet du code dans Zygote, un service système permettant le lancement d’applications. Une fois ce daemon modifié, il est détourné de ses fonctions pour lancer les applications qui intéressent spécifiquement les pirates, ainsi que pour afficher des publicités. Puisque ces dernières sont gérées au niveau du système, il est difficile pour l’utilisateur de comprendre ce qui provoque leur apparition.

CopyCat s’en prend particulièrement aux vieux appareils

C’est presque une tradition désormais quand on parle de malwares sur Android : les appareils les plus vulnérables sont ceux embarquant une vieille version du système, 5.0 ou antérieure. Sur ces derniers, il y a bien longtemps que les mises à jour de sécurité ne sont plus effectuées.

Or, dans le cas de CopyCat, l’ironie veut qu’il utilise des vulnérabilités connues depuis longtemps… et parfaitement documentées. C’est particulièrement le cas de CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot) et CVE-2014-3153 (Towelroot). Pour les utilisateurs, à moins de contrôler très soigneusement quelles applications ils installent, il n’y a aucun moyen de se défendre.

Puisque 14 millions d’appareils ont été infectés, l’ampleur de la campagne montre bien encore une fois quel genre de problème pose un parc mobile constitué souvent de petits appareils d’entrée de gamme qui ne sont rapidement plus mis à jour… quand ils le sont. Dans les marchés émergents en effet, certains modèles sont à rapprocher des objets connectés d’entrée de gamme : fournis avec une base logicielle complètement dépassée et sans espoir de voir les failles colmatées.

copycat android malware
Crédits : Check Point

Une campagne visant surtout l’Asie

Ici aussi, on retrouve une caractéristique assez courante pour un malware Android. Ainsi, comme l’indique toujours Check Point, une majorité de victimes se trouve en Inde, mais le Pakistan, le Bangladesh, l’Indonésie et le Myanmar sont également touchés. En tout, plus de 55 % des infections ont eu lieu en Asie. Ce ne sont pas les seules puisque 280 000 appareils infectés ont été détectés aux États-Unis, et même 381 000 au Canada, le continent américain comptant pour 12 % des cas, moins cependant que l'Afrique et ses 18 %.

L’Europe n'a globalement été que peu touchée, avec 7 % des contaminations, derrière l'Océanie et ses 8 %.

Il semble également que l’objectif financier ait clairement été atteint. Les pirates auraient ainsi cumulé des gains de 1,5 million de dollars, dont 735 000 par le seul affichage de publicités. 100 millions de ces dernières auraient ainsi été affichées par 4,9 millions de fausses installations.

Déjà des pistes sur la provenance

Selon Check Point, il n’est pas certain que l’on puisse parler de pirates au sens classique du terme. Certains indices laissent à penser en effet qu’une entreprise chinoise pourrait être à l’origine de ces infections. Disposant d’un réseau publicitaire, MobiSummer n’aurait ainsi reculé devant rien pour diffuser ses contenus.

La société de sécurité a trouvé plusieurs éléments troublants qui renforcent cette thèse. Par exemple, CopyCat et MobiSummer se servent du même serveur et des mêmes services distants. Il est également étrange que la Chine n’ait pas été victime de l’attaque alors que l’immense majorité des utilisateurs touchés résident en Asie du sud. Plus troublant encore, plusieurs lignes de code dans le malware seraient signées par MobiSummer.

Une menace jugulée

Actuellement, les utilisateurs ne courent normalement plus aucun risque. Check Point précise dans son billet que Google a été averti en mars et que le ménage a depuis été fait.

On rappellera en effet que même si Android n’est plus mis à jour, un certain nombre de services continuent à l’être, notamment les Play Services et Play Protect. Ce dernier réunit sous une même appellation l’ensemble des techniques de Google pour protéger les appareils sous Android de menaces telles que CopyCat.

L’éditeur l’avait d’ailleurs expliqué lui-même il y a quelques mois : si un malware est détecté, le kill switch peut être activé via Play Protect. Autrement dit, Google supprime à distance la ou les applications fautives. Une fonction qui, selon Google, utilisée que dans ce type de cas, ou lors d’une violation flagrante des conditions soumises aux développeurs.

Un cas qui en rappelle d’autres

Le fait qu’une entreprise puisse recourir à de telles méthodes n’est pas en soi une nouveauté. Fin mai, 41 applications éditées par la société sud-coréenne ENISTUDIO Corp étaient supprimées du Play Store, parce qu’elles embarquaient un malware nommé Judy.

L’affaire illustrait la zone d’ombre qui entoure certaines entreprises, qui n’hésitent pas à exploiter des failles de sécurité pour afficher des publicités, voire dérober des informations personnelles. Et même si la plupart des menaces proviennent de boutiques tierces sur Android (simplement parce qu’elles sont moins – voire pas – contrôlées), passer par le Play Store n’est pas en soi une garantie de sécurité.

Dans ce cas de figure, et comme nous l’avons répété à de multiples reprises face à l’ensemble des menaces de sécurité, rien ne peut remplacer une bonne hygiène informatique et surtout la méfiance de l’utilisateur. Ne pas installer une application sans vérifier un minimum sa provenance, ne pas croire aux messages promettant monts et merveilles, ne pas cliquer sur n’importe quel lien, ouvrir n’importe quelle pièce jointe et ainsi de suite.

Ces conseils sont à la base de la sécurité depuis longtemps, mais prennent de plus en plus d’importance. La raison en est simple :  dans l’immense majorité des cas attaques, c’est le comportement humain qui fait la différence. Sur d’anciens appareils, l’attitude est encore plus importante car les dangers sont encore plus nombreux à éviter.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un travail de sape sur les défenses du système

CopyCat s’en prend particulièrement aux vieux appareils

Une campagne visant surtout l’Asie

Déjà des pistes sur la provenance

Une menace jugulée

Un cas qui en rappelle d’autres

Commentaires (20)


Proverbe du jour: “Vieil Androïd, gare aux hémorroïdes.” <img data-src=" />


Ca fonctionne aussi avec les nouveaux alors <img data-src=" />





CopyCat prend, selon Check Point, la forme d’une application

authentique, ce qu’elle n’est évidemment pas. Une fois installée, elle

commence par réunir des informations techniques sur l’appareil, les

transmet à un serveur puis récupère en échange un ou plusieurs rootkits

qui vont l’aider à rester caché.





Donc il y a quand même intervention manuelle au départ… PEBKAC classique.


Quand Google ne nous “oblige” pas a garder d’ancienne versions, sur leurs propres téléphones :

Samsung Google Nexus S : acheté 500 balles, j’attends de lui qu’il me dure de 5 a 10 ans

Problèmes : Android 5 n’est pas dispo sur cette plate forme, la dernière trouvée sur le site officiel de Google, c’est 4.4 (de mémoire)

Quand bien même je voudrais rester à jour (tout est relatif) sur la 4.4, ca ralenti tellement le phone que j’ai mis une image en version 2…

&nbsp;

Voila, je suis a pwal, avec pleins de failles, pour juste pouvoir avoir une utilisation “normale” de mon tèl…


Effectivement, même si on achète un téléphone haut de gamme, les mises à jour finissent par rapidement cesser, car cela coûte cher aux fabricants. C’est bien dommage, qu’il n’y ait pas plus de suivi de leur part, ça me semble pas si compliqué que ça… mais ça ne leur rapporte rien, financièrement en tout cas…


Lineage OS ? (Installé pour ma part sur un Galaxy S3, avec 1Go de Ram, ça marche vraiment tres bien. Android 7.1.2). C’est un peu pareil avec de “vieux” ordis, imaginons sous XP ou 7, il faut faire l’installation à la main, et au moins au niveau sécurité, c’est à jour.








moinsse a écrit :



Lineage OS ? (Installé pour ma part sur un Galaxy S3, avec 1Go de Ram, ça marche vraiment tres bien. Android 7.1.2). C’est un peu pareil avec de “vieux” ordis, imaginons sous XP ou 7, il faut faire l’installation à la main, et au moins au niveau sécurité, c’est à jour.





Ça a l’air sympa cet OS, et ça peut permettre à d’anciens tel de rester à jour (surface d’infection réduite), par contre je ne trouve pas de Nexus S dans la liste de compatibilité… <img data-src=" />



Je viens de regarder, les specs du nexus S sont limite qd même. Nougat c’est mort je pense avec seulement 500 Mo de Ram. Faut voir la dernière version développée pour lui. Voir sur xda ?


tssss. Ces pauvres qui accusent Google parce qu’ils sont trop rapias pour acheter un nouveau smart…


Pas de problème avec mon Windows Phone, y’a aucune appli intéressante à installer <img data-src=" />








spidermoon a écrit :



Pas de problème avec mon Windows Phone, y’a aucune appli intéressante à installer <img data-src=" />





<img data-src=" />



<img data-src=" />

Encore que j’ai déjà vu dans la Windows store, des applis reprenant le nom et l’icône d’autres applis, mais n’ayant pas le même auteur. Jamais installé ce genre de choses…



Sinon pour reprendre l’article : il ne faut pas se leurrer en pensant que seuls les téléphones d’entrée de gamme sont facilement laissés à l’abandon. Tous les Android peuvent l’être, au bon vouloir de Google/le constructeur/le fabricant de la puce, voire l’opérateur si le téléphone subit une surcouche. Et je dirais même qu’à une échéance plus ou moins rapide, tous les Android le sont… Même Google garantit une durée de mises à jour ridicule à ses téléphones.








moinsse a écrit :



Lineage OS ? (Installé pour ma part sur un Galaxy S3, avec 1Go de Ram, ça marche vraiment tres bien. Android 7.1.2).







+1 !

Galaxy S3 + CyanogenMod (avant) et Lineage OS (maintenant) : <img data-src=" />



<img data-src=" /><img data-src=" />


Windows Phone c’est le plus sécurisé des OS. Y a personne dessus. Donc ça n’intéresse pas les pirates.



CQFD.



<img data-src=" />


Ils ont bien retenu la leçon des PC.


Mais il faut 12go de ram à Android pour faire le moindre truc, donc même un tel haut de gamme ne peut pas être à jour très longtemps.


Windows phone est un super OS, clairement la meilleure plate-forme mobile avec ios.


teddyalbina le 08/07/2017 à 22:02:02 #16

Mais il faut 12go de ram à Android pour faire le moindre truc



C’est un peu plus subtil que ça : certaines applis ne demandent pas tant de Ram que ça, mais surtout elles utilisent de nouvelles fonctionnalités processeur que les anciens proc ne supportent pas. Bon on occulte évidemment le fait que les patch de sécurité pourraient être installés séparément. Il me semble que Google poussera beaucoup plus de choses (notamment la sécurité de l’os) dans Android O sans passer par les constructeurs ou opérateurs.


Y’a que Microsoft qui s’évertue à pourrir WP. <img data-src=" />









moinsse a écrit :



Il me semble que Google poussera beaucoup plus de choses (notamment la sécurité de l’os) dans Android O sans passer par les constructeurs ou opérateurs.







C’est juste ce qui aurait du être fait depuis le départ… Le hic c’est qu’encore une fois, pour Android O il faudra repasser à la caisse et abandonner un appareil parfaitement fonctionnel.

Vivement qu’on fusille ceux qui ont eu cette brillante idée.



Donne à Android 24GO de RAM il les utilisera. Se plaindre que Android prends de la RAM c’est juste avoir une méconnaissance profonde de l’OS et juste être un bon gros troll sans une once de subtilité ou de jugeote.