Malware pré-installé trouvé sur 5 millions de téléphones Android populaires

Les chercheurs en sécurité ont découvert une vaste campagne de logiciels malveillants sans cesse croissante qui a déjà infecté près de 5 millions d’appareils mobiles dans le monde.

Baptisé RottenSys , le malware qui se déguisait en une application « System Wi-Fi » était pré-installé sur des millions de nouveaux smartphones fabriqués par Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et GIONEE - ajoutés quelque part dans la chaîne d’approvisionnement.

Tous ces appareils affectés ont été expédiés par l’intermédiaire de Tian Pai, un distributeur de téléphones mobiles basé à Hangzhou, mais les chercheurs ne sont pas sûrs si la société a une implication directe dans cette campagne.
Selon l’équipe de Check Point Mobile Security, qui a découvert cette campagne, RottenSys est un logiciel malveillant avancé qui ne fournit aucun service lié au Wi-Fi sécurisé, mais qui prend presque toutes les autorisations Android sensibles pour activer ses activités malveillantes.
"Selon nos résultats, le logiciel malveillant RottenSys a commencé à se propager en septembre 2016. Au 12 mars 2018, 4 964 460 appareils ont été infectés par RottenSys", ont indiqué des chercheurs.
Pour échapper à la détection, l’application fausse service Wi-Fi système vient initialement sans composant malveillant et ne démarre pas immédiatement toute activité malveillante.
Au lieu de cela, RottenSys a été conçu pour communiquer avec ses serveurs de commande et de contrôle afin d’obtenir la liste des composants requis, qui contiennent le code malveillant réel.
RottenSys télécharge et installe ensuite chacun d’entre eux en conséquence, en utilisant l’autorisation "DOWNLOAD_WITHOUT_NOTIFICATION" qui ne nécessite aucune interaction de l’utilisateur.

Les pirates ont gagné 115 000 $ en seulement 10 jours

En ce moment, la campagne massive de logiciels malveillants pousse un composant publicitaire sur tous les appareils infectés qui affichent agressivement des publicités sur l’écran d’accueil de l’appareil, comme des fenêtres pop-up ou des publicités plein écran pour générer des revenus publicitaires frauduleux.
"RottenSys est un réseau publicitaire extrêmement agressif : au cours des dix derniers jours, il a diffusé des annonces agressives 13 250 756 fois (appelées impressions dans l’industrie publicitaire) et 548 822 ont été traduites en clics publicitaires", indiquent les chercheurs.
Selon les chercheurs de CheckPoint, le malware a fait plus de 115 000 $ à ses auteurs au cours des 10 derniers jours seulement, mais les attaquants sont à « quelque chose de bien plus dommageable que de simplement afficher des publicités non invitées ».
Puisque RottenSys a été conçu pour télécharger et installer de nouveaux composants à partir de son serveur C & C, les attaquants peuvent facilement manipuler ou contrôler totalement des millions de périphériques infectés.
L’enquête a également révélé certaines preuves que les attaquants de RottenSys ont déjà commencé à transformer des millions de ces périphériques infectés en un réseau de botnet massif.
Certains périphériques infectés ont été trouvés en installant un nouveau composant RottenSys qui offre aux attaquants des capacités plus étendues, y compris l’installation silencieuse d’applications supplémentaires et l’automatisation de l’interface utilisateur.
"Fait intéressant, une partie du mécanisme de contrôle du botnet est implémenté dans les scripts Lua, sans intervention, les attaquants pourraient réutiliser leur canal de distribution de malwares existant et prendre rapidement le contrôle de millions d’appareils", ont noté les chercheurs.
Ce n’est pas la première fois que les chercheurs de CheckPoint découvrent des marques de premier plan touchées par l’ attaque de la chaîne d’approvisionnement .
L’année dernière, l’entreprise a trouvé un smartphone appartenant à Samsung, LG, Xiaomi, Asus, Nexus, Oppo et Lenovo, infecté par deux logiciels malveillants pré-installés (Loki Trojan et SLocker mobile ransomware) conçus pour espionner les utilisateurs.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 11 |

Actu en image