La société de sécurité Check Point a publié hier un long article faisant état d’une immense campagne de malware sur Android qui aurait abouti à la contamination de 14 millions d’appareils. Un cas qui rappelle encore une fois le vrai problème posé par les smartphones n’étant plus mis à jour.
La boutique de Google, comme nous l’avons rappelé récemment, n’est pas une protection absolue quand il s’agit de lutter contre les malwares. Il arrive régulièrement qu’un petit code vérolé se glisse à travers les défenses. La firme surveille cependant de manière constante ce qui transite dans ses services et finit en général par mettre la main sur les intrus.
Mais Android permet également d’activer le téléchargement et l’installation d’applications depuis des sources tierces. Comprendre, en dehors du Store. Une liberté qui n’existe pas sur iOS et Windows 10 Mobile (du moins pas de manière simple). Elle s’accompagne néanmoins d’un risque : celui de récupérer des applications qui ont soit été infectées par des malwares, soit sont des malwares déguisés. C’est précisément ce qui s’est passé avec CopyCat.
Un travail de sape sur les défenses du système
CopyCat est le nom donné par Check Point au malware qui aurait infecté pas moins de 14 millions d’appareils mobiles sous Android. Sur cette masse, plus de la moitié (8 millions) a été rootée par le malware, 3,8 millions ont été utilisés pour diffuser des publicités et 4,4 millions ont détourné celles d’applications figurant dans le Play Store. L’objectif financier ressort ainsi clairement.
CopyCat prend, selon Check Point, la forme d’une application authentique, ce qu’elle n’est évidemment pas. Une fois installée, elle commence par réunir des informations techniques sur l’appareil, les transmet à un serveur puis récupère en échange un ou plusieurs rootkits qui vont l’aider à rester caché.
L’étape cruciale vient après. CopyCat injecte en effet du code dans Zygote, un service système permettant le lancement d’applications. Une fois ce daemon modifié, il est détourné de ses fonctions pour lancer les applications qui intéressent spécifiquement les pirates, ainsi que pour afficher des publicités. Puisque ces dernières sont gérées au niveau du système, il est difficile pour l’utilisateur de comprendre ce qui provoque leur apparition.
CopyCat s’en prend particulièrement aux vieux appareils
C’est presque une tradition désormais quand on parle de malwares sur Android : les appareils les plus vulnérables sont ceux embarquant une vieille version du système, 5.0 ou antérieure. Sur ces derniers, il y a bien longtemps que les mises à jour de sécurité ne sont plus effectuées.
Or, dans le cas de CopyCat, l’ironie veut qu’il utilise des vulnérabilités connues depuis longtemps… et parfaitement documentées. C’est particulièrement le cas de CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot) et CVE-2014-3153 (Towelroot). Pour les utilisateurs, à moins de contrôler très soigneusement quelles applications ils installent, il n’y a aucun moyen de se défendre.
Puisque 14 millions d’appareils ont été infectés, l’ampleur de la campagne montre bien encore une fois quel genre de problème pose un parc mobile constitué souvent de petits appareils d’entrée de gamme qui ne sont rapidement plus mis à jour… quand ils le sont. Dans les marchés émergents en effet, certains modèles sont à rapprocher des objets connectés d’entrée de gamme : fournis avec une base logicielle complètement dépassée et sans espoir de voir les failles colmatées.
Une campagne visant surtout l’Asie
Ici aussi, on retrouve une caractéristique assez courante pour un malware Android. Ainsi, comme l’indique toujours Check Point, une majorité de victimes se trouve en Inde, mais le Pakistan, le Bangladesh, l’Indonésie et le Myanmar sont également touchés. En tout, plus de 55 % des infections ont eu lieu en Asie. Ce ne sont pas les seules puisque 280 000 appareils infectés ont été détectés aux États-Unis, et même 381 000 au Canada, le continent américain comptant pour 12 % des cas, moins cependant que l'Afrique et ses 18 %.
L’Europe n'a globalement été que peu touchée, avec 7 % des contaminations, derrière l'Océanie et ses 8 %.
Il semble également que l’objectif financier ait clairement été atteint. Les pirates auraient ainsi cumulé des gains de 1,5 million de dollars, dont 735 000 par le seul affichage de publicités. 100 millions de ces dernières auraient ainsi été affichées par 4,9 millions de fausses installations.
Déjà des pistes sur la provenance
Selon Check Point, il n’est pas certain que l’on puisse parler de pirates au sens classique du terme. Certains indices laissent à penser en effet qu’une entreprise chinoise pourrait être à l’origine de ces infections. Disposant d’un réseau publicitaire, MobiSummer n’aurait ainsi reculé devant rien pour diffuser ses contenus.
La société de sécurité a trouvé plusieurs éléments troublants qui renforcent cette thèse. Par exemple, CopyCat et MobiSummer se servent du même serveur et des mêmes services distants. Il est également étrange que la Chine n’ait pas été victime de l’attaque alors que l’immense majorité des utilisateurs touchés résident en Asie du sud. Plus troublant encore, plusieurs lignes de code dans le malware seraient signées par MobiSummer.
Une menace jugulée
Actuellement, les utilisateurs ne courent normalement plus aucun risque. Check Point précise dans son billet que Google a été averti en mars et que le ménage a depuis été fait.
On rappellera en effet que même si Android n’est plus mis à jour, un certain nombre de services continuent à l’être, notamment les Play Services et Play Protect. Ce dernier réunit sous une même appellation l’ensemble des techniques de Google pour protéger les appareils sous Android de menaces telles que CopyCat.
L’éditeur l’avait d’ailleurs expliqué lui-même il y a quelques mois : si un malware est détecté, le kill switch peut être activé via Play Protect. Autrement dit, Google supprime à distance la ou les applications fautives. Une fonction qui, selon Google, utilisée que dans ce type de cas, ou lors d’une violation flagrante des conditions soumises aux développeurs.
Un cas qui en rappelle d’autres
Le fait qu’une entreprise puisse recourir à de telles méthodes n’est pas en soi une nouveauté. Fin mai, 41 applications éditées par la société sud-coréenne ENISTUDIO Corp étaient supprimées du Play Store, parce qu’elles embarquaient un malware nommé Judy.
L’affaire illustrait la zone d’ombre qui entoure certaines entreprises, qui n’hésitent pas à exploiter des failles de sécurité pour afficher des publicités, voire dérober des informations personnelles. Et même si la plupart des menaces proviennent de boutiques tierces sur Android (simplement parce qu’elles sont moins – voire pas – contrôlées), passer par le Play Store n’est pas en soi une garantie de sécurité.
Dans ce cas de figure, et comme nous l’avons répété à de multiples reprises face à l’ensemble des menaces de sécurité, rien ne peut remplacer une bonne hygiène informatique et surtout la méfiance de l’utilisateur. Ne pas installer une application sans vérifier un minimum sa provenance, ne pas croire aux messages promettant monts et merveilles, ne pas cliquer sur n’importe quel lien, ouvrir n’importe quelle pièce jointe et ainsi de suite.
Ces conseils sont à la base de la sécurité depuis longtemps, mais prennent de plus en plus d’importance. La raison en est simple : dans l’immense majorité des cas attaques, c’est le comportement humain qui fait la différence. Sur d’anciens appareils, l’attitude est encore plus importante car les dangers sont encore plus nombreux à éviter.
