Godless : du malware sur Google Play

MobilitéOS mobilesRisquesSécuritéVirus
godless-android
2 2

Trend Micro a mis le doigt sur une famille de logiciels malveillants qui ont franchi la barrière Google Play, menaçant jusqu’à 90 % des terminaux Android.

Godless, une menace à prendre au sérieux pour les utilisateurs d’Android ?

Cette famille de logiciels malveillants toucherait, selon Trend Micro, jusqu’à 90 % des appareils équipés de l’OS de Google. En l’occurrence, tous ceux qui tournent sous Android 5.1 « Lollipop » ou toute version antérieure.

Dans la pratique, il faut relativiser : Godless se fonde principalement sur deux failles (CVE-2015-3636 et CVE-2014-3153, situées dans le noyau Linux) que Google a corrigées en septembre dernier. Les terminaux mis à jour sont donc en théorie protégés.

À l’image de ces « kits d’exploits » hébergés sur des sites Web malveillants et qui sont capables de repérer les vulnérabilités sur le navigateur d’un internaute donné, Godless s’appuie sur le framework open source android-rooting-tools pour détecter les faiblesses de chaque machine infectée.

Ce qui est particulièrement problématique, c’est que du code malveillant est parvenu à se loger sur plusieurs app stores, dont Google Play. Trend Micro recense plus de 850 000 infections dans le monde, essentiellement en Inde (46,19 %), en Indonésie (10,27 %) et en Thaïlande (9,47 %).

Godless a évolué avec le temps. Les premières applications malveillantes stockaient les « exploits » à tester directement sur les appareils, dans un fichier libgodlikelib.so. Dès le passage en veille, la procédure de root démarrait avec, entre autres, l’installation d’une application système dotée d’un maximum de privilèges… et par là même très difficile à retirer.

Cette application peut se connecter à Google Play et télécharger des applications en arrière-plan, tout en laissant des évaluations positives pour améliorer le référencement d’autres apps malveillantes.

Une version plus récente de Godless va chercher le code malveillant et l’application système sur un serveur de commande et de contrôle (hxxp://market[.]moboplay[.]com/softs[.]ashx ; URL modifiée pour des raisons de sécurité) qui permet d’installer une porte dérobée.

Trend Micro assure que « de nombreuses applications » disponibles sur Google Play – notamment des clones de jeux populaires – sont infectées. L’éditeur n’en cite cependant qu’une : Summer Flashlight, téléchargée plusieurs milliers de fois et qui permet d’exploiter le flash d’un téléphone en tant que lampe de poche.

Crédit photo : siiixth – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur