Déguisé en application «System Wi-Fi», le malware «RottenSys» est préinstallé sur des millions de smartphones Android fabriqués par plusieurs marques, selon The Hacker News, citant une récente publication de la société Check Point Research de sécurité informatique.
Selon The Hackers News, l’équipe de Check Point Mobile Security affirme que «RottenSys est un logiciel malveillant avancé qui ne fournit aucun service lié au Wi-Fi sécurisé, mais qui prend presque toutes les autorisations Android sensibles pour activer ses activités malveillantes». Près de la moitié des appareils affectés provient d’un distributeur de téléphones mobiles basé à Hangzhou en Chine. Mais cela ne permet pas, ajoute le document, de conclure que la société, dénommée «Tian Pai», soit à l’origine de cette infection. Les canaux de distribution liés à «Tian Pai» contribuent «à 49,2% du nombre total de dispositifs infestés que nous avons observés», affirme l’étude publiée sur le site de Check Point Mobile. La même source rapporte, selon l’organisme chinois «Enterprise Credit Information Publicity System» qui enregistre les entreprises dans l’ensemble des provinces du pays, la société Tian Pai «offre une large gamme de services de préventes personnalisées, et pratique de la vente en gros en ligne/hors ligne» de plusieurs marques de smartphones. «Selon nos résultats, le logiciel malveillant a commencé à se propager en septembre 2016. Au 12 mars 2018, 4 964 460 appareils ont été infectés par RottenSys», ont indiqué des chercheurs. Le nombre d’infections enregistrées en juillet et août 2017 est de l’ordre de 800 000 smartphones pour chaque mois, selon le graphique accompagnant l’étude.
Les marques de smartphones Android concernées par le malware «RottenSys» sont : Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et Gionee. Certaines marques sont largement plus touchées que d’autres. «Les plus touchées sont Honor, Huawei et Xiaomi» qui comptent plusieurs centaines de milliers de terminaux infectés, alors que le moins touché est Samsung avec moins de 20 000 smartphones. «Pour éviter d’être détectée, la fausse application System Wi-Fi vient initialement sans composant malveillant et ne démarre pas immédiatement son activité malveillante. RottenSys a été conçue pour communiquer avec des serveurs de commande et de contrôle afin d’obtenir la liste des composants requis, qui contiennent le code malveillant réel. Ces composants sont téléchargés et installés en utilisant l’autorisation «download_without_notification» (télécharger sans notification) qui ne nécessite aucune interaction de la part de l’utilisateur», explique The Hacker News.
Invasion de publicités
Une fois installés, ces composants déclenchent une «campagne massive de composants publicitaires sur tous les appareils infectés qui affichent agressivement des publicités sur l’écran d’accueil de l’appareil, comme des fenêtres pop-up ou des publicités plein écran pour générer des revenus frauduleux», note l’article. «RottenSys est un réseau publicitaire extrêmement agressif. Au cours des dix derniers jours (avant le 15 mars 2018, ndlr), il a diffusé 13 250 756 annonces dont 548 822 ont été traduites en clics», selon les chercheurs de Check Point Mobile Security.
Pour donner une idée sur les «revenus potentiels» pouvant être collectés par les pirates, les chercheurs ont calculé un revenu «selon l’estimation prudente de 20 cents pour chaque clic et de 40 cents pour mille impressions». Résultat : les pirates qui ont diffusé «RottenSys» ont gagné «plus de 115 000 dollars en quelque jours seulement». L’enquête a également révélé que les attaquants utilisant RottenSys «ont déjà commencé à transformer des millions de ces appareils infectés en un réseau botnet massif.
Certains périphériques infectés ont installé un nouveau composant RottenSys qui offre aux attaquants des capacités plus étendues, y compris l’installation silencieuse d’applications supplémentaires et l’automatisation de l’interface utilisateur», ajoute l’étude. «Fait intéressant, une partie du mécanisme de contrôle du botnet est implémentée dans les scripts Lua. Sans intervention, les pirates pourraient réutiliser leur canal de distribution de logiciels malveillants existant et prendre rapidement le contrôle de millions d’appareils.»
La solution
The Hacker News rappelle que ce n’est pas la première que la société Check Point «découvre que des smartphones de marques de premier plan sont touchés par une attaque de la chaîne d’approvisionnement (Supply Chain)». En effet, en mars 2017, Check Point Mobile Security, cité par The Hacker News, avait révélé qu’au moins «36 modèles de smartphones haut de gamme appartenant à des sociétés telles que Samsung, LG, Xiaomi, Asus, Nexus, Oppo et Lenovo, qui sont distribués par deux sociétés non identifiées, ont été trouvés pré-chargés avec des programmes malveillants». Il s’agissait de «Loki Trojan» et de «SLocker», des ransomwares mobiles «conçus pour espionner les utilisateurs». La bonne nouvelle c’est que les utilisateurs qui font face à une invasion de publicités «peuvent désinstaller RottenSys, s’ils connaissent le nom exact du paquet à supprimer», affirme Check Point. «Si votre nouveau téléphone souffre d’annonces inconnues sur l’écran d’accueil, accédez aux paramètres système Android, puis au gestionnaire d’applications, puis recherchez les noms de packages de logiciels malveillants suivants et désinstallez-les : «com.android.yellowcalendarz», «com.changmi. launcher», «com.android.services.securewifi», et «com.system.service.zdsgt».
