Passer au contenu

Comment ce malware contourne les mécanismes de sécurité d’Android

Un dangereux malware est parvenu à contourner les mécanismes de sécurité mis en place par Google avec Android 13. Baptisé SecuriDropper, ce virus imite le comportement d’une application issue du Play Store pour pouvoir installer un logiciel espion ou un maliciel conçu pour dépouiller votre compte en banque.

Les chercheurs en sécurité informatique de ThreatFabric ont découvert un nouveau malware ciblant les smartphones Android, SecuriDropper. Le virus fait partie de la catégorie des “compte-gouttes” (ou “dropper” en anglais). Il s’agit d’un type de programme malveillant conçu pour s’introduire discrètement dans un système informatique pour y installer d’autres types de logiciels.

C’est un outil très répandu auprès des hackers, qui s’en servent pour déployer d’autres virus encore plus dangereux, comme des ransomwares par exemple. SecuriDropper est proposé dans le cadre d’un abonnement de type Dropper-as-a-Service (DaaS) aux cybercriminels.

Après enquête, les experts ont constaté que SecuriDropper est surtout capable de contourner certains mécanismes de sécurité mis en place par Google avec Android 13. Le logiciel malveillant peut en effet contourner les paramètres restreints, apparus sur le système d’exploitation en 2022.

À lire aussi : Acheter un Android pas cher peut vous coûter beaucoup plus que de l’argent

Les paramètres restreints d’Android

Ces paramètres imposent des restrictions aux applications qui n’ont pas été installées depuis le Play Store. Si vous avez installé une app depuis un APK ou une boutique tierce, Google lui astreindra automatiquement des limites. Par exemple, l’application ne pourra pas accéder à des fonctions sensibles, comme l’API d’accessibilité ou les notifications. Un avertissement indiquera automatiquement à l’utilisateur que l’app a été bridée.

Cette mesure de sécurité vise évidemment à protéger les internautes contre les apps suspectes, qui proviennent généralement d’APK propagés sur la toile. En évitant le Play Store, les développeurs de programmes malveillants évitent aussi les contrôles de sécurité de Google. De même, leurs applications ne sont pas scannées par le programme Play Protect. Les restrictions annoncées visent de facto à protéger les utilisateurs.

Comme l’explique Google sur son site web officiel, il est possible de désactiver la restriction et d’accorder un accès aux apps qui ne proviennent pas du Play Store. Néanmoins, le géant américain recommande la prudence et « de ne pas autoriser les paramètres restreints, sauf si vous faites confiance au développeur de l’application ».

« En activant les paramètres restreints, vous autorisez les applications à accéder à des informations sensibles susceptibles de compromettre vos données personnelles », met en garde Google.

Comment SecuriDropper contourne les protections mises en place par Google ?

Pour contourner les sécurités d’Android, SecuriDropper s’appuie sur une « méthode d’installation spécifique », indique ThreatFabric. En clair, le malware va imiter la manière dont une application légitime issue du Play Store s’installe sur un smartphone Android. Les applications provenant de la boutique de Google reposent sur un programme d’installation de paquets, un outil qui automatise le processus de gestion de logiciels sur le système, « basé sur la session ». Les actions du programme sont limitées à la session utilisateur active.

Ce n’est pas le cas des apps provenant d’une plateforme tiers ou d’un APK. En se servant de cette méthode précise, les applications malveillantes font croire à Android qu’elles viennent du Play Store. En fait, « le système d’exploitation ne peut pas faire la différence entre une application installée par un compte-gouttes et un marché officiel », précise le rapport. En l’espace d’un an, les hackers ont donc découvert une méthode infaillible pour berner les précautions prises par Google.

Malware espion et cheval de Troie

Comme l’explique ThreatFabric, le mode opératoire de SecuriDropper comporte deux étapes majeures. Tout d’abord, les pirates vont distribuer une application Android malveillante, mais en apparence inoffensive, sur la toile. Dans le code de cette app, on trouve le compte-gouttes. Une fois que celui-ci est parvenu à pénétrer sur le système d’exploitation, il va installer un logiciel espion, comme SpyNote, ou un cheval de Troie bancaire, tel qu’Ermac, pour voler les données de ses victimes. C’est là que le piège se referme.

Malheureusement, SecuriDropper n’est pas le seul virus à utiliser cette tactique pour contourner les restrictions d’Android. Les chercheurs de ThreatFabric ont également identifié Zombinder, un service qui permet de concevoir une application malveillante en mesure de contourner les paramètres restreints. Il est probable que d’autres cybercriminels se précipitent dans la brèche dans un avenir proche.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : ThreatFabric


Florian Bayard