Sécurité Android : un malware au milieu des patchs
A l’heure où les mises à jour de sécurité pour Android entrent dans un cycle mensuel, des chercheurs attirent l’attention sur un rançongiciel particulièrement nuisible.
Le télescopage est cocasse, mais aussi révélateur du défi que pose Android en matière de sécurité informatique : à l’heure où Google commence à expérimenter son nouveau modèle de diffusion mensuelle de correctifs, un éditeur antivirus attire l’attention sur un malware particulièrement dangereux, capable en l’occurrence de modifier le code PIN d’un smartphone.
Mais remontons à fin juin et cette découverte qui avait agité le monde de la sécurité IT. Une faille exposant la quasi-totalité des téléphones Android à une attaque par le biais d’un simple MMS contenant une vidéo piégée était mise au jour. Son nom : Stagefright.
Google s’y était repris à plusieurs fois pour colmater la brèche, par le biais d’un patch appliqué à Messenger, le service utilisé par défaut pour envoyer et recevoir textos et messages multimédias.
Le groupe Internet avait surtout décidé d’accélérer le rythme pour combler les vulnérabilités dans son OS mobile : en plus des mises à jour d’Android, les possesseurs de terminaux Nexus (gamme vendue en marque blanche par Google) allaient bénéficier, tous les mois, d’une vague de correctifs, sur le même principe que le Patch Tuesday de Microsoft.
La promesse va même plus loin : tous les Nexus recevront des mises à jour pendant au moins 2 ans. Ils accéderont également à des patchs pour un minimum de 3 ans après leur lancement commercial ou de 18 mois après leur fin de vente (la plus longue des deux périodes sera retenue).
D’autres constructeurs ont décidé d’adopter la même approche. En tête de liste, LG et Samsung. Mais l’acheminement des updates vers les utilisateurs finaux n’est pas chose simple.
La première cartouche a été tirée le 9 septembre par Google, avec une nouvelle image système d’Android 5.1.1 pour les Nexus 4, 5, 6, 7, 9 et 10.
Android Police a examiné cette build LMY48M (LMY48N pour le Nexus Player) et a constaté qu’elle abrite plusieurs correctifs. Il est notamment question de problèmes de gestion de la mémoire pouvant entraîner des dépassements de capacité et ouvrir la porte à des menaces virales.
Exception faite des Nexus achetés directement auprès de Google ou de ses distributeurs, la diffusion de cette nouvelle mouture d’Android est du ressort des constructeurs et des opérateurs. Lesquels réagissent en ordre dispersé, essentiellement aux États-Unis. T-Mobile a promis un update pour les Nexus vendus par ses soins, ainsi que pour les Samsung Galaxy S6 et Galaxy Note 5.
Malware pour adultes
Mais l’histoire ne s’arrête pas avec cette mise à jour. Les équipes d’ESET l’ont rappelé dans une contribution blog du 10 septembre 2015 à propos d’un malware nommé Android/Lockerpin.A. Entrant dans la catégorie des rançongiciels, il verrouille le téléphone de ses victimes et demande 500 dollars pour y restaurer l’accès.
Les chances d’infection sont minimes pour les mobinautes qui ne récupèrent leurs applications que sur Google Play. Pour les autres, c’est plus compliqué, qu’ils aient recours à des places de marché tierces ou encore au téléchargement via Torrent.
Android/Lockerpin.A est faussement présenté, sous le nom « Porn Droid », comme un service de visionnage de vidéos « pour adultes ». Quelque temps après son installation, il fait apparaître une fenêtre qui donne à l’utilisateur l’impression qu’il active le logiciel. Mais le bouton « Continue » est en fait superposé à un autre bouton qui donne au malware des privilèges suffisamment élevés pour modifier les paramètres système… et plus particulièrement un élément : le code PIN de verrouillage.
Ce dernier étant changé de manière aléatoire, même les pirates ne peuvent le connaître. Il est dès lors très difficile d’éradiquer Android/Lockerpin.A, d’autant plus qu’il embarque des mécanismes de défense : si l’utilisateur essaie de désactiver les permissions accordées, le malware les reprend. Comment ? En prétendant que l’opération de désactivation est impossible et en réutilisant la technique de la fenêtre superposée.
Les créateurs du rançongiciel se sont méfiés de certains antivirus : Avast, ESET et Dr.Web. Android/Lockerpin.A essaie systématiquement de les fermer s’ils sont en cours d’exécution, tout en empêchant l’utilisation du module de désinstallation des applications Android.
Pour se débarrasser du virus, il n’existerait que deux solutions : soit disposer d’un accès root et supprimer, via ADB, le fichier contenant le code PIN (commande rm /data/system/password.key) ; soit exploiter une solution de gestion de la mobilité (MDM) capable de réinitialiser ce même PIN.
Crédit photo : Pavel Ignatov – Shutterstock.com