Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le malware CopyCat a pu infecter 14 millions de vieux appareils Android avant suppression

Vieux androïdes rouillés...
Mobilité 6 min
Le malware CopyCat a pu infecter 14 millions de vieux appareils Android avant suppression
Crédits : juniorbeep/iStock

La société de sécurité Check Point a publié hier un long article faisant état d’une immense campagne de malware sur Android qui aurait abouti à la contamination de 14 millions d’appareils. Un cas qui rappelle encore une fois le vrai problème posé par les smartphones n’étant plus mis à jour.

La boutique de Google, comme nous l’avons rappelé récemment, n’est pas une protection absolue quand il s’agit de lutter contre les malwares. Il arrive régulièrement qu’un petit code vérolé se glisse à travers les défenses. La firme surveille cependant de manière constante ce qui transite dans ses services et finit en général par mettre la main sur les intrus.

Mais Android permet également d’activer le téléchargement et l’installation d’applications depuis des sources tierces. Comprendre, en dehors du Store. Une liberté qui n’existe pas sur iOS et Windows 10 Mobile (du moins pas de manière simple). Elle s’accompagne néanmoins d’un risque : celui de récupérer des applications qui ont soit été infectées par des malwares, soit sont des malwares déguisés. C’est précisément ce qui s’est passé avec CopyCat.

Un travail de sape sur les défenses du système

CopyCat est le nom donné par Check Point au malware qui aurait infecté pas moins de 14 millions d’appareils mobiles sous Android. Sur cette masse, plus de la moitié (8 millions) a été rootée par le malware, 3,8 millions ont été utilisés pour diffuser des publicités et 4,4 millions ont détourné celles d’applications figurant dans le Play Store. L’objectif financier ressort ainsi clairement.

CopyCat prend, selon Check Point, la forme d’une application authentique, ce qu’elle n’est évidemment pas. Une fois installée, elle commence par réunir des informations techniques sur l’appareil, les transmet à un serveur puis récupère en échange un ou plusieurs rootkits qui vont l’aider à rester caché.

L’étape cruciale vient après. CopyCat injecte en effet du code dans Zygote, un service système permettant le lancement d’applications. Une fois ce daemon modifié, il est détourné de ses fonctions pour lancer les applications qui intéressent spécifiquement les pirates, ainsi que pour afficher des publicités. Puisque ces dernières sont gérées au niveau du système, il est difficile pour l’utilisateur de comprendre ce qui provoque leur apparition.

CopyCat s’en prend particulièrement aux vieux appareils

C’est presque une tradition désormais quand on parle de malwares sur Android : les appareils les plus vulnérables sont ceux embarquant une vieille version du système, 5.0 ou antérieure. Sur ces derniers, il y a bien longtemps que les mises à jour de sécurité ne sont plus effectuées.

Or, dans le cas de CopyCat, l’ironie veut qu’il utilise des vulnérabilités connues depuis longtemps… et parfaitement documentées. C’est particulièrement le cas de CVE-2013-6282 (VROOT), CVE-2015-3636 (PingPongRoot) et CVE-2014-3153 (Towelroot). Pour les utilisateurs, à moins de contrôler très soigneusement quelles applications ils installent, il n’y a aucun moyen de se défendre.

Puisque 14 millions d’appareils ont été infectés, l’ampleur de la campagne montre bien encore une fois quel genre de problème pose un parc mobile constitué souvent de petits appareils d’entrée de gamme qui ne sont rapidement plus mis à jour… quand ils le sont. Dans les marchés émergents en effet, certains modèles sont à rapprocher des objets connectés d’entrée de gamme : fournis avec une base logicielle complètement dépassée et sans espoir de voir les failles colmatées.

copycat android malware
Crédits : Check Point

Une campagne visant surtout l’Asie

Ici aussi, on retrouve une caractéristique assez courante pour un malware Android. Ainsi, comme l’indique toujours Check Point, une majorité de victimes se trouve en Inde, mais le Pakistan, le Bangladesh, l’Indonésie et le Myanmar sont également touchés. En tout, plus de 55 % des infections ont eu lieu en Asie. Ce ne sont pas les seules puisque 280 000 appareils infectés ont été détectés aux États-Unis, et même 381 000 au Canada, le continent américain comptant pour 12 % des cas, moins cependant que l'Afrique et ses 18 %.

L’Europe n'a globalement été que peu touchée, avec 7 % des contaminations, derrière l'Océanie et ses 8 %.

Il semble également que l’objectif financier ait clairement été atteint. Les pirates auraient ainsi cumulé des gains de 1,5 million de dollars, dont 735 000 par le seul affichage de publicités. 100 millions de ces dernières auraient ainsi été affichées par 4,9 millions de fausses installations.

Déjà des pistes sur la provenance

Selon Check Point, il n’est pas certain que l’on puisse parler de pirates au sens classique du terme. Certains indices laissent à penser en effet qu’une entreprise chinoise pourrait être à l’origine de ces infections. Disposant d’un réseau publicitaire, MobiSummer n’aurait ainsi reculé devant rien pour diffuser ses contenus.

La société de sécurité a trouvé plusieurs éléments troublants qui renforcent cette thèse. Par exemple, CopyCat et MobiSummer se servent du même serveur et des mêmes services distants. Il est également étrange que la Chine n’ait pas été victime de l’attaque alors que l’immense majorité des utilisateurs touchés résident en Asie du sud. Plus troublant encore, plusieurs lignes de code dans le malware seraient signées par MobiSummer.

Une menace jugulée

Actuellement, les utilisateurs ne courent normalement plus aucun risque. Check Point précise dans son billet que Google a été averti en mars et que le ménage a depuis été fait.

On rappellera en effet que même si Android n’est plus mis à jour, un certain nombre de services continuent à l’être, notamment les Play Services et Play Protect. Ce dernier réunit sous une même appellation l’ensemble des techniques de Google pour protéger les appareils sous Android de menaces telles que CopyCat.

L’éditeur l’avait d’ailleurs expliqué lui-même il y a quelques mois : si un malware est détecté, le kill switch peut être activé via Play Protect. Autrement dit, Google supprime à distance la ou les applications fautives. Une fonction qui, selon Google, utilisée que dans ce type de cas, ou lors d’une violation flagrante des conditions soumises aux développeurs.

Un cas qui en rappelle d’autres

Le fait qu’une entreprise puisse recourir à de telles méthodes n’est pas en soi une nouveauté. Fin mai, 41 applications éditées par la société sud-coréenne ENISTUDIO Corp étaient supprimées du Play Store, parce qu’elles embarquaient un malware nommé Judy.

L’affaire illustrait la zone d’ombre qui entoure certaines entreprises, qui n’hésitent pas à exploiter des failles de sécurité pour afficher des publicités, voire dérober des informations personnelles. Et même si la plupart des menaces proviennent de boutiques tierces sur Android (simplement parce qu’elles sont moins – voire pas – contrôlées), passer par le Play Store n’est pas en soi une garantie de sécurité.

Dans ce cas de figure, et comme nous l’avons répété à de multiples reprises face à l’ensemble des menaces de sécurité, rien ne peut remplacer une bonne hygiène informatique et surtout la méfiance de l’utilisateur. Ne pas installer une application sans vérifier un minimum sa provenance, ne pas croire aux messages promettant monts et merveilles, ne pas cliquer sur n’importe quel lien, ouvrir n’importe quelle pièce jointe et ainsi de suite.

Ces conseils sont à la base de la sécurité depuis longtemps, mais prennent de plus en plus d’importance. La raison en est simple :  dans l’immense majorité des cas attaques, c’est le comportement humain qui fait la différence. Sur d’anciens appareils, l’attitude est encore plus importante car les dangers sont encore plus nombreux à éviter.

20 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 07/07/17 à 15:37:40

Proverbe du jour: "Vieil Androïd, gare aux hémorroïdes." :francais:

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 07/07/17 à 15:41:29

Ca fonctionne aussi avec les nouveaux alors :francais:

CopyCat prend, selon Check Point, la forme d’une application
authentique, ce qu’elle n’est évidemment pas. Une fois installée, elle
commence par réunir des informations techniques sur l’appareil, les
transmet à un serveur puis récupère en échange un ou plusieurs rootkits
qui vont l’aider à rester caché.

Donc il y a quand même intervention manuelle au départ... PEBKAC classique.

Avatar de Ayak973 Abonné
Avatar de Ayak973Ayak973- 07/07/17 à 15:42:56

Quand Google ne nous "oblige" pas a garder d'ancienne versions, sur leurs propres téléphones :
Samsung Google Nexus S : acheté 500 balles, j'attends de lui qu'il me dure de 5 a 10 ans
Problèmes : Android 5 n'est pas dispo sur cette plate forme, la dernière trouvée sur le site officiel de Google, c'est 4.4 (de mémoire)
Quand bien même je voudrais rester à jour (tout est relatif) sur la 4.4, ca ralenti tellement le phone que j'ai mis une image en version 2...
 
Voila, je suis a pwal, avec pleins de failles, pour juste pouvoir avoir une utilisation "normale" de mon tèl...

Avatar de acti67 INpactien
Avatar de acti67acti67- 07/07/17 à 15:57:53

Effectivement, même si on achète un téléphone haut de gamme, les mises à jour finissent par rapidement cesser, car cela coûte cher aux fabricants. C'est bien dommage, qu'il n'y ait pas plus de suivi de leur part, ça me semble pas si compliqué que ça... mais ça ne leur rapporte rien, financièrement en tout cas...

Édité par acti67 le 07/07/2017 à 15:58
Avatar de moinsse Abonné
Avatar de moinssemoinsse- 07/07/17 à 15:59:49

Lineage OS ? (Installé pour ma part sur un Galaxy S3, avec 1Go de Ram, ça marche vraiment tres bien. Android 7.1.2). C'est un peu pareil avec de "vieux" ordis, imaginons sous XP ou 7, il faut faire l'installation à la main, et au moins au niveau sécurité, c'est à jour.

Avatar de Ayak973 Abonné
Avatar de Ayak973Ayak973- 07/07/17 à 17:18:58

moinsse a écrit :

Lineage OS ? (Installé pour ma part sur un Galaxy S3, avec 1Go de Ram, ça marche vraiment tres bien. Android 7.1.2). C'est un peu pareil avec de "vieux" ordis, imaginons sous XP ou 7, il faut faire l'installation à la main, et au moins au niveau sécurité, c'est à jour.

Ça a l'air sympa cet OS, et ça peut permettre à d'anciens tel de rester à jour (surface d'infection réduite), par contre je ne trouve pas de Nexus S dans la liste de compatibilité... :craint:

Avatar de moinsse Abonné
Avatar de moinssemoinsse- 07/07/17 à 18:39:38

Je viens de regarder, les specs du nexus S sont limite qd même. Nougat c'est mort je pense avec seulement 500 Mo de Ram. Faut voir la dernière version développée pour lui. Voir sur xda ?

Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 07/07/17 à 18:56:09

tssss. Ces pauvres qui accusent Google parce qu'ils sont trop rapias pour acheter un nouveau smart...

Avatar de spidermoon Abonné
Avatar de spidermoonspidermoon- 07/07/17 à 19:04:58

Pas de problème avec mon Windows Phone, y'a aucune appli intéressante à installer :transpi:

Avatar de Ricard INpactien
Avatar de RicardRicard- 07/07/17 à 21:27:44

spidermoon a écrit :

Pas de problème avec mon Windows Phone, y'a aucune appli intéressante à installer :transpi:

:mdr:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2