En 2016, HummingBad s’est allègrement imposé dans la liste des malwares les plus lucratifs et les plus répandus. Avec 85 millions d’appareils Android compromis et un revenu mensuel de 300 000 dollars en publicités frauduleuses, il a marqué le monde de la cyber-sécurité lorsqu’il s’est fait repérer par les spécialistes de Check Point. Il comptait ainsi pour 72% des attaques pour le premier semestre 2016 et occupait la quatrième place des malwares les plus actifs au niveau mondial, selon Check Point.
Installé dans le Play Store
Mauvaise nouvelle, HummingBad n’est pas mort, il a évolué. Ce sont une fois encore les experts de Check Point qui ont découvert cette mutation. Appelé HummingWhale, elle a été repérée sur plus d’une vingtaine d’applications Android présentes, et c’est là un point assez préoccupant, sur le Google Play Store. Surtout quand on sait tous les efforts que la firme de Mountain View a déployé ces dernières années, et plus récemment avec son programme Verify, censé faire la chasse aux applications potentiellement dangereuses (PHA, pour Potentially Harmful Apps) sur les périphériques Android.
Environ douze millions d’utilisateurs ont téléchargé en confiance ces applications corrompues, mises en ligne à partir de faux comptes de développeurs chinois, explique la société de sécurité.
Un malware qui se virtualise
C’est le comportement bizarre de ces applications au démarrage qui les a trahies. Elles cherchent en effet à exécuter des événements inhabituels dans ce contexte. En plus de cela, les chercheurs ont noté qu’elles embarquaient un fichier de 1,3 Mo chiffré, enregistré en tant qu’image (.png) mais qui est en réalité un exécutable (.apk).
C’est là le cœur du malware. Ce dernier fichier sert de dropper, c’est-à-dire qu’il va télécharger et exécuter d’autres applications, comme le faisait HummingBad. Toutefois, il y a là aussi une nouveauté importante. Le dropper utilise un plug-in, développé par une société chinoise spécialisé en cyber-sécurité pour tester des applications dans une machine virtuelle. Appelé Droidplugin, il installe ainsi des applis frauduleuses dans cette machine virtuelle. L’avantage, c’est qu’HummingWhale n’a du coup pas besoin de rooter le smartphone attaqué pour fonctionner. L’utilisation des machines virtuelles ne requiert pas, en effet, une élévation des privilèges.
Une fois le smartphone compromis, le serveur de commande et de contrôle lié au malware va lui envoyer de fausses publicités et de faux programmes. L’appli, qui fonctionne donc dans une machine virtuelle, génère alors une fausse ID de référence, qui permet aux hackers de générer des revenus.
Comme certains de ses prédécesseurs, notamment Gooligan ou CallJam, HummingWhale essaie d’améliorer sa réputation sur le Play Store, remarquent les chercheurs de Check Point. Il ajoute ainsi des commentaires et des notes positives en regard des applications corrompus.
Méfiance donc si vous téléchargez ou avez téléchargé une application mises en ligne par un compte chinois n’ayant pas beaucoup de programmes à son actif et qui affiche une trop grosse disparité de notes.
Si vous avez un doute et pensez avoir déjà téléchargé une application de ce genre, sachez qu’elles ont tendance à ne pas fonctionner, à se lancer et à planter immédiatement. Ce critère, ajouté aux précédents, peut donc être un moyen – pas fiable à 100% – de repérer ces applications dangereuses.
Source :
Blog de Check Point
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.