Les équipes d’Avast ont découvert un adware pré-installé sur plusieurs centaines de modèles et de versions d’appareils Android différents, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés par Google.
Le logiciel publicitaire en question porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont touchés, et le mois dernier la dernière version de l’adware a été identifiée sur environ 18 000 appareils dans plus de 100 pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie parmi d’autres, ainsi que quelques cas aux Etats-Unis.
L’adware, déjà analysé par Dr.Web, est actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet installé au niveau du firmware (ou micrologiciel) et utilise un code rendu impénétrable par procédé d’offuscation. Les responsables des sociétés d’antivirus sont en contact avec Google, conscient du problème. Le géant du Web a ainsi pris des mesures pour atténuer les capacités malveillantes de nombreuses variantes d’applications sur plusieurs modèles d’appareils, en exploitant des techniques développées en interne.
Google Play Protect a été mis à jour pour garantir la protection de ces applications à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le problème reste donc difficile à résoudre. Google a contacté les développeurs de micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y remédier.
Identifier Cosiloon
Au cours des dernières années ont été longuement observés des échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer de point d’infection et présentait plusieurs noms de packages similaires, les plus communs étant :
- com.google.eMediaService
- com.google.eMusic1Service
- com.google.ePlay3Service
- com.google.eVideo2Service
La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou dropper, en anglais), également appelé « programme seringue » ou « virus compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système cible.
Certaines applications antivirus signalent les charges utiles, mais l’injecteur les ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle application. On note aussi que l’adware permet d’installer le dropper sur les appareils, mais il est également en mesure de télécharger facilement un logiciel espion, un ransomware ou tout autre type de menace.
Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en envoyant des demandes de retrait au registraire de noms de domaines et aux fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et désactivé le serveur, mais il a été restauré après un certain temps par le biais d’un autre fournisseur. Le registraire n’a lui pas donné suite à la demande, ce qui signifie que le serveur fonctionne toujours.
« Les applications malveillantes peuvent malheureusement être installées au niveau du firmware avant d’être envoyées aux consommateurs, probablement à l’insu du fabricant, confie Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security, chez Avast. Si une application est effectivement installée au niveau du firmware, elle est très difficile à supprimer. La collaboration entre les fournisseurs de sécurité, Google et les fabricants d’équipements d’origine (FEO) est donc primordiale. Ensemble, nous pouvons garantir un écosystème plus sûr pour les utilisateurs d’Android. »
La solution Avast Mobile Security peut détecter et désinstaller la charge utile, mais elle ne peut pas acquérir les autorisations requises pour désactiver le dropper. Google Play Protect doit donc prendre en charge cette lourde fonction. Si un appareil est infecté, le dropper et la charge utile doivent automatiquement être désactivés. Cela fonctionne car le Threat Labs a observé une baisse du nombre d’appareils infectés par les nouvelles versions de charge utiles une fois que Play Protect a commencé à détecter Cosiloon.
Désactiver Cosiloon
Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « CrashService », « meMess » ou « Terminal » avec l‘icône d’Android), et cliquer sur le bouton « désactiver » sur la page des applications, si disponible (selon la version Android).
Crédit photo : DR
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine