le 12 avril 2019

Les analystes de Doctor Web ont examiné le Trojan Android.InfectionAds.1 qui utilise plusieurs vulnérabilités dans le système d'exploitation Android. En les exploitant, il contamine des programmes et peut également installer et supprimer des applications sans aucune intervention de l'utilisateur. Une autre fonction d’Android.InfectionAds.1 est l'affichage de publicités.

Les attaquants intègrent le Trojan dans un logiciel initialement inoffensif dont les copies modifiées sont ultérieurement diffusées via des catalogues tiers d'applications Android, notamment Nine Store et Apkpure. Nos experts ont détecté Android.InfectionAds.1 dans des jeux et applications telles que HD Camera, ORG 2018_19 \ Tabla Piano Guitare Robab Guitar, Euro Farming Simulator 2018 et Touch on Girls. Certains d'entre eux ont été installés par au moins plusieurs milliers de propriétaires de Smartphones et tablettes. Mais le nombre d'applications infectées et d'utilisateurs concernés peut s'avérer beaucoup plus important.

Au lancement d'une application dans laquelle le Trojan est intégré, ce dernier extrait de ses ressources des modules supplémentaires, les déchiffre et les lance. L'un de ces modules est conçu pour afficher de la publicité intempestive tandis que les autres sont utilisés pour contaminer et installer d'autres applis.

Android.InfectionAds.1 affiche des bannières publicitaires par-dessus l'interface système et celle des applications en cours d'exécution et empêche d'utiliser convenablement l'appareil. De plus, sur commande d'un serveur de contrôle, le Trojan peut modifier le code des plateformes publicitaires populaires Admob, Facebook et Mopub utilisées dans un grand nombre de jeux et d'applications. Il remplace les identifiants publicitaires uniques par son propre identifiant, tous les bénéfices des annonces publicitaires sont ainsi versés aux auteurs du virus.

Android.InfectionAds.1 exploite une vulnérabilité critique CVE-2017-13315 dans le système d'exploitation Android, qui permet au Trojan de lancer des activités système. Ainsi, il est en mesure d'installer automatiquement et de supprimer des applications à l'insu de l'utilisateur. Lors de la création du Trojan, un code de démonstration (PoC - Proof of Concept) de chercheurs chinois a été utilisé. Ils l'ont créé pour démontrer les capacités de cette vulnérabilité système.

CVE-2017-13315 se rapporte à une classe de vulnérabilités qui sont connues sous le nom EvilParcel. Leur caractéristique principale est qu'un certain nombre de composants système contiennent une erreur qui rend possible la modification des données lors des échanges entre les applications et le système d'exploitation. La valeur finale d'un fragment de données transmises généré spécialement sera différente de celle de l'original. Ainsi, les programmes peuvent contourner les vérifications du système d'exploitation et obtenir des privilèges élevés afin d'effectuer des actions auparavant indisponibles. A l'heure actuelle, 7 vulnérabilités de ce type sont connues, mais leur nombre peut augmenter ultérieurement.

En utilisant EvilParcel, Android.InfectionAds.1 installe un fichier apk qu'il cachait et qui contient tous les composants du Trojan. De la même manière Android.InfectionAds.1 peut installer ses propres mises à jour, qu'il télécharge du serveur de contrôle ainsi que tout autre programme y compris des programmes malveillants. Par exemple, lors de l'analyse, le Trojan a téléchargé du serveur et installé le programme malveillant Android.InfectionAds.4 qui représente une de ses propres modifications.

Voici un exemple de la façon dont le cheval de Troie, sans aucune autorisation, installe des applis :

A part EvilParcel, le Trojan exploite l'autre vulnérabilité de l'OS Android connue sour le nom de Janus (CVE-2017-13156). C'est via ce " trou de sécurité " qu'il contamine des applications déjà installées en introduisant sa copie dans ces applications. Android.InfectionAds.1 se connecte au serveur de contrôle et reçoit une liste des programmes qu'il doit infecter. S'il n'arrive pas à se connecter au serveur, il contamine les applications figurant dans ses paramètres initiaux. En fonction de la modification du cheval de Troie, la liste d'application peut varier. Voici un exemple d'une telle liste dans l'une des versions examinées d'Android.InfectionAds.1  :

• com.whatsapp (WhatsApp Messenger);
• com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
• com.mxtech.videoplayer.ad (MX Player);
• com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
• com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
• com.jiochat.jiochatapp (JioChat: HD Video Call);
• com.jio.join (Jio4GVoice);
• com.good.gamecollection;
• com.opera.mini.native (Opera Mini - fast web browser);
• in.startv.hotstar (Hotstar);
• com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
• com.domobile.applock (AppLock);
• com.touchtype.swiftkey (SwiftKey Keyboard);
• com.flipkart.android (Flipkart Online Shopping App);
• cn.xender (Share Music & Transfer Files – Xender);
• com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
• com.truecaller (Truecaller: Caller ID, spam blocking & call record);
• com.ludo.king (Ludo King™).

Lorsque le Trojan infecte des programmes, il ajoute ces composants à la structure des fichiers apk sans modifier leur signature numérique. Puis il installe des versions modifiées des applications à la place des originaux. Puisque la vulnérabilité permet de garder la signature des fichiers contaminés, les programmes peuvent être installés comme leurs propres mises à jour. Dans ce cas, l'installation est également effectuée en utilisant la vulnérabilité EvilParcel et sans aucune intervention de l'utilisateur. Par la suite, les programmes touchés continuent à fonctionner mais ils contiennent une copie d'Android.InfectionAds.1 fonctionnant en parallèle de manière transparente. Lorsque le Trojan infecte des applications, ils obtiennent un accès à leurs données. Par exemple, lorsque WhatsApp est contaminé, le Trojan à un accès à la correspondance de l'utilisateur, si c'est un navigateur qui est infecté, le malware peut accéder aux logins et mots de passe enregistrés dans le navigateur.

La seule méthode permettant de se débarrasser du Trojan et de rétablir la sécurité des programmes touchés est de supprimer les applications contenant le Trojan et de réinstaller leurs versions " saines " des sources de confiance, notamment Google Play. La version renouvelée de Dr.Web Space Security pour Android possède une fonctionnalité permettant de détecter les vulnérabilités EvilParcel. Cette fonction est disponible dans le module Contrôleur de sécurité. Vous pouvez télécharger un package d'installation du programme sur le site officiel de Doctor Web, le logiciel sera bientôt disponible en téléchargement sur Google Play.

Les produits antivirus Dr.Web pour Android détectent et éradiquent toutes les modifications connues d’Android.InfectionAds.1, il ne représente donc aucun danger pour les utilisateurs Dr.Web.

[En savoir plus sur Android.InfectionAds.1]

[En savoir plus sur EvilParcel]

[En savoir plus sur Janus]

#Android #Trojan #logiciel_malveillant