Un malware d’un nouveau genre s’attaquant aux terminaux animés par Android a été détecté par l’éditeur de solutions de sécurité Kaspersky. Peu répandu, mais très inquiétant par sa sophistication, il profite de failles importantes de l’OS pour mobiles de Google pour s’accorder des privilèges d’administrateur et empêcher sa désinstallation.

au sommaire


    Le système d’exploitation pour mobiles Android a le vent en poupe chez les cybercriminels. Selon le blog de l’éditeur d’antivirus Avast, en un an le nombre de malwares dédiés à l’OS a augmenté de 850 % ! Pour bloquer les menaces, l'éditeur propose une solution de sécurité gratuite pour terminal Android. La plupart des éditeurs d'antivirus font de même avec des versions peu onéreuses. Obad représente la menace la plus sophistiquée, en passant inaperçu et surtout en empêchant sa désinstallation. © Kaspersky

    Le système d’exploitation pour mobiles Android a le vent en poupe chez les cybercriminels. Selon le blog de l’éditeur d’antivirus Avast, en un an le nombre de malwares dédiés à l’OS a augmenté de 850 % ! Pour bloquer les menaces, l'éditeur propose une solution de sécurité gratuite pour terminal Android. La plupart des éditeurs d'antivirus font de même avec des versions peu onéreuses. Obad représente la menace la plus sophistiquée, en passant inaperçu et surtout en empêchant sa désinstallation. © Kaspersky

    Il s'appelle Backdoor.AndroidOS.Obad.a, mais donnons-lui le diminutif d'Obad. Il serait le virus existant le plus dangereux pour terminaux AndroidAndroid. C'est le laboratoire de l'éditeur de solutions de sécurité Kaspersky qui a repéré cette menace d'un nouveau genre. Contrairement à un malware de la trempe de BadNews, ayant infecté jusqu'à neuf millions de terminaux Android, Obad est faiblement répandu, puisqu'il ne représenterait que 0,15 % des menaces. Toutefois sa sophistication est très inquiétante selon l'éditeur.

    Alors que les malwares destinés aux smartphones sont relativement faciles à détecter, puis à éliminer, Obad exploite des failles jusqu'alors inconnues d'Android, et utilise un code compliqué et crypté. Il va même plus loin en empêchant sa propre désinstallation. Pour le moment, c'est essentiellement en Russie qu'il circule et se propage sur les terminaux Android via un SMS publicitaire. Si l'utilisateur touche cette publicité, le virus cherche immédiatement à s'installer.

     <br />Le mobile a accroché un réseau Wi-Fi ou un autre terminal Bluetooth. Obad entre en action et l’écran du smartphone se bloque pendant plus de dix secondes sans pouvoir être déverrouillé. Il va chercher à se propager, transmettre des données personnelles, envoyer des SMS surtaxés ou recevoir de nouvelles instructions de la part de son serveur de commande distant. L’utilisateur ne peut pas se douter de ce qui se trame sous l'écran de veille. © Kaspersky
     
    Le mobile a accroché un réseau Wi-Fi ou un autre terminal Bluetooth. Obad entre en action et l’écran du smartphone se bloque pendant plus de dix secondes sans pouvoir être déverrouillé. Il va chercher à se propager, transmettre des données personnelles, envoyer des SMS surtaxés ou recevoir de nouvelles instructions de la part de son serveur de commande distant. L’utilisateur ne peut pas se douter de ce qui se trame sous l'écran de veille. © Kaspersky

    Une fois qu'il est activé, profitant d'une faille dans un système de conversion des fichiers pour Android (APK), Obad vient perturber le système de détection de cheval de Troie de la machine virtuelle Dalvik de l'OS. Ensuite, il vient tromper un autre système de sécurité de l'OS via son fichier AndroidManifest.xml. Ce type de fichier est contenu dans chaque applicationapplication pour Android. Il vient donner à l'OS les détails de sa structure et ses composantes pour montrer qu'il respecte la charte imposée par GoogleGoogle aux développeurs d'applications. L'astuce, c'est que le fichier AndroidManifest.xml d'Obad dissimule ses intentions en livrant d'innocentes informations. Les véritables capacités de l'application sont masquées et fortement cryptées.

    La malware Obad s’attaque aux droits d'administrateur

    Pour s'installer durablement, le virus fait comme de nombreuses applications pour Android : il demande des droits d'administrateur. Habituellement, ils permettent, par exemple, d'empêcher le verrouillage automatiquement de l'écran et d'afficher des notifications. Dans le cas d'Obad, l'objectif et de s'accaparer ces privilèges d'administrateur pour empêcher sa désinstallation. Le malware n'apparaît même pas dans la liste des applications et ne dispose pas d'interface, ce qui rend encore plus difficile sa désinstallation.

    Une fois cramponné au système, il réalise ses funestes besognes en mettant le grappin sur les informations personnelles de l'utilisateur et en rapatriant une ribambelle de camarades malveillants sur un serveur de commandes distant (C&C). Enfin, il utilise les méthodes habituelles des chevaux de Troiechevaux de Troie, en tentant de transformer le mobile en serveur de spam et passe des SMS surtaxés.

    En plus sa méthode de propagation par SMS, Obad exploite une autre technique. Il va rechercher la présence de terminaux sous Android situés à proximité, via le BluetoothBluetooth, pour tenter de les contaminer.

    Des virus mutants circulent déjà !

    Ce qui inquiète vraiment Kaspersky, c'est cette sophistication. Obad s'apparente en effet davantage à un virus pour Windows doté de plusieurs couches et de systèmes complexes qu'aux malwares classiques sévissant sur les mobiles. Même son de cloche chez l'éditeur d'antivirusantivirus Avast. Plus inquiétant encore, Filip Chytry, un analyste maison, a expliqué à Futura-Sciences, que le laboratoire d'Avast vient de détecter des variantes et mutations basées sur ce virus. L'éditeur devrait publier de façon imminente un billet sur son blog à propos de ces virus mutants. Il a également précisé que l'antivirus gratuit d’Avast est capable de détecter et bloquer ces nuisibles.

    S'il est peu répandu pour le moment, Obad pourrait bien inaugurer un nouveau genre de malwares bien plus coriaces et agressifs.