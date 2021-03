Méfiez-vous de ce logiciel espion Android qui se fait passer pour une mise à jour critique du système.



Ne cliquez pas aveuglément sur ce lien et ne supposez pas que la notification d'une mise à jour du système est réelle. Les exploits de type "zero day" dans des applications serveurS populaires comme Solarwinds et Exchange peuvent faire la une des journaux, mais les plus gros problèmes auxquels la plupart des utilisateurs sont confrontés en matière de sécurité informatique sont de nature sociale. C'est le cas cette semaine encore, car un nouveau malware pour Android se fait passer pour une mise à jour de sécurité, mais sa charge utile est bien plus sombre. Selon la société de sécurité Zimperium, ce prétendu correctif critique pourrait en réalité être un logiciel malveillant qui vole des messages et des données personnelles, voire prend le contrôle total du téléphone.







Zimperium a d'abord détecté un nouveau logiciel malveillant System Update parce que les comportements de l'application ont déclenché la détection de la protection sur dispositif zIPS de la société sur un certain nombre d'appareils infectés. L'application est un cheval de Troie d'accès à distance, qui fonctionne comme une porte dérobée permettant à un attaquant d'accéder aux applications de messagerie de l'appareil, au navigateur Web et aux fichiers avec des extensions spécifiques, y compris les types de fichiers Microsoft Office courants. Au-delà du vol de données, l'application peut également surveiller la localisation via le GPS et les services de localisation, activer le microphone et la caméra, et enregistrer les appels téléphoniques, tout en se dissimulant dans le tiroir des applications.



Heureusement, Zimperium indique que cette application n'est disponible que sur des magasins tiers, et non sur Google Play. L'application enregistre ensuite l'appareil auprès de Firebase Command & Control de Google, y compris des données telles que le modèle de l'appareil, puis s'empare d'un nouveau jeton Firebase pour ses propres besoins. Les attaquants envoient ensuite des commandes par l'intermédiaire de l'instance Firebase Cloud Messaging de Google et, au lieu de les afficher sous forme d'alertes comme le font la plupart des applications, ce malware de mise à jour du système prend le corps de l'alerte et l'analyse pour y trouver des commandes sur les données à renvoyer à ses créateurs.







Des extraits de code qui reproduisent les actions du malware sont inclus dans le billet de blog de Zimperium. C'est toujours aux développeurs d'applications de décider ce qu'il faut faire des notifications entrantes, et normalement, elles sont simplement formatées et affichées sur l'appareil. Le code de la mise à jour du système lit le corps et passe par une logique de branchement pour collecter les données demandées. Ces informations sont ensuite stockées dans le bac à sable de stockage privé de l'application, prêtes à être renvoyées. Elle peut même récupérer les vignettes des vidéos stockées sur l'appareil. L'application récupère également les informations de localisation et d'appel de la même manière.



Si Microsoft est en grande partie responsable, les récents événements liés aux logiciels malveillants Apple et Android prouvent également qu'aucune plateforme n'est sûre. Tout appareil sur lequel l'application System Update est installée doit être considéré comme une ligne de parti où un tiers est presque certainement à l'écoute. Zimperium ne fournit aucune mesure pour assurer la suppression du malware. En théorie, il suffit de visiter les applications installées sur l'appareil et de les supprimer pour résoudre le problème, mais il est plus sûr de réinitialiser et de restaurer. Le téléchargement d'applications de tiers est toujours un peu risqué, et dans ce cas, ce sont les utilisateurs qui ont perdu.



