Des applications malveillantes d'une campagne appelée "Agent Smith" ont été téléchargées sur 25 millions d'appareils Android, selon une nouvelle étude de la société de cybersécurité Check Point.

Les applications, la plupart d'entre eux des jeux, ont été distribués via des magasins d'applications tiers par un groupe chinois avec une entreprise légitime aidant les développeurs chinois à promouvoir leurs applications sur des plateformes externes. Check Point n'identifie pas l'entreprise, parce qu'ils travaillent avec les forces de l'ordre locales. Environ 300, 000 appareils ont été infectés aux États-Unis

Le malware a pu copier des applications populaires sur le téléphone, y compris WhatsApp et le navigateur Web Opera, injecter son propre code malveillant et remplacer l'application d'origine par la version militarisée, en utilisant une vulnérabilité dans la façon dont les applications Google sont mises à jour. Les applications piratées fonctionneraient toujours très bien, qui a caché le malware aux utilisateurs.

Armé de toutes les autorisations que les utilisateurs avaient accordées aux vraies applications, "Agent Smith" a réussi à détourner d'autres applications sur le téléphone pour afficher des publicités indésirables aux utilisateurs. Cela peut ne pas sembler être un problème important, mais les mêmes failles de sécurité pourraient être utilisées pour détourner des services bancaires, shopping et autres applications sensibles, selon Avran Hazoum, chef de l'équipe d'analyse et de réponse de Check Point pour les appareils mobiles.

« Hypothétiquement, rien ne les empêche de cibler les applications bancaires, changer la fonctionnalité pour envoyer vos identifiants bancaires" à un tiers, dit Hazum. "L'utilisateur ne pourrait voir aucune différence, mais l'attaquant pourrait se connecter à votre compte bancaire à distance."

Le groupe disposait également de 11 applications dans la boutique officielle Google Play avec une version "dormante" de "Agent Smith, " qui aurait pu être déclenchée par une bannière publicitaire contenant le mot-clé " infecter ". Les applications, qui ont été supprimés du Google Play Store, avait été téléchargé plus de 10 millions de fois.

Il est important que les utilisateurs comprennent que les publicités ne sont pas toujours de simples publicités, selon Dustin Childs, le responsable des communications de l'initiative Zero Day de la société de cybersécurité Trend Micro, un programme dit de « bug bounty » qui récompense les pirates et les chercheurs qui les informent des failles de sécurité des logiciels.

« Nous avons vu des publicités malveillantes qui peuvent installer des applications lorsque vous accédez à une page Web à partir de votre appareil Android. Elles pourraient installer un ransomware, ils pourraient copier vos contacts, " il a dit, se référant à des recherches antérieures. "Les bloqueurs de publicités ne servent pas uniquement à bloquer les publicités."

Childs recommande aux utilisateurs d'Android d'utiliser un logiciel de blocage des publicités, toujours mettre à jour leurs appareils lorsque vous y êtes invité, et téléchargez uniquement des applications depuis le Google Play Store.

"Le développeur de l'application ne peut rien faire pour empêcher cela, " a déclaré Hazum. " Le correctif doit venir du système d'exploitation. "

Google a déjà corrigé au moins un des exploits Android utilisés par "Agent Smith, " surnommé Janus, en 2017, mais le correctif n'a pas fait son chemin sur tous les téléphones Android. C'est un rappel puissant que des millions de téléphones dans le monde sont utilisés sans les dernières mesures de sécurité.

"Les chiffres infectés par cette campagne montrent combien d'appareils ne sont pas mis à jour, " Hazum a déclaré. "Il faut beaucoup de temps pour qu'une mise à jour atteigne chaque téléphone."

Une grande partie du problème est la fragmentation de l'écosystème Android, surtout par rapport à l'écosystème iPhone, dit Childs.

"Google est très doué pour publier des correctifs pour les vulnérabilités qu'ils connaissent, mais le faire parvenir à tous les appareils est un problème très difficile."

Chaque fois que Google publie un nouveau correctif de sécurité, ou "patch, " chaque fabricant d'appareils tels que Samsung ou LG - doit s'assurer que toutes ses propres applications fonctionnent toujours avec le nouveau système, ce qui peut prendre du temps. Les fabricants cessent généralement de proposer des mises à jour de sécurité aux modèles de téléphone après quelques années, voire quelques mois, un problème important étant donné la durée pendant laquelle les gens ont tendance à garder les smartphones.

Si les fabricants envoient une mise à jour pour l'appareil, tous les opérateurs tels que Verizon et AT&T doivent alors autoriser la mise à jour.

La dernière étape, bien sûr, amène les gens à mettre à jour leurs téléphones.

"Les gens voient qu'ils ont une mise à jour et savent qu'il faudra 30 minutes à leur téléphone pour la télécharger, l'appliquer, et redémarrer l'appareil, " dit Hazum. "Beaucoup de gens l'ignorent."

Que les utilisateurs aient ou non mis à jour la sécurité sur leurs téléphones, l'un des plus grands risques pour les appareils Android vient des magasins d'applications tiers, qui ne sont pas bien contrôlés, dit Daniel Thomas, chercheur associé et conférencier à l'Université de Cambridge.

Thomas faisait partie d'une équipe de recherche qui a découvert que 87 % des appareils Android en 2015 utilisaient des versions obsolètes du système d'exploitation. Le programme Android Vulnerabilities de l'équipe distribue des données sur les risques historiques et actuels pour les appareils.

Mais les utilisateurs d'iPhone ne devraient pas être à l'aise. Même si l'écosystème Apple est plus contrôlé qu'Android, les pirates ont trouvé de nombreuses façons d'exploiter les appareils utilisant iOS, sans oublier qu'Apple est sur le point de cesser de proposer des mises à jour de sécurité à de nombreux modèles d'iPhone encore largement utilisés.

"Dans n'importe quel grand corps de code, il y aura toujours des vulnérabilités que nous n'avons pas encore trouvées, " dit Thomas.

©2019 The Mercury News (San José, Californie)
Distribué par Tribune Content Agency, LLC.