Le 26 mars 2019

Les analystes de Doctor Web ont détecté une fonctionnalité masquée au sein d’UC Browser pour télécharger et lancer un code non vérifié sur les appareils mobiles. L’application est capable de télécharger des modules logiciels subsidiaires en outrepassant les serveurs de Google Play. Ceci viole les règles de Google Inc. et représente une menace sérieuse parce que cela permet à n’importe quel code, notamment un code malveillant, d’être téléchargé sur les appareils tournant sous Android.

A ce jour, UC Browser a été téléchargé par plus de 500 millions d’utilisateurs de Google Play. Doctor Web a détecté cette fonctionnalité cachée pour télécharger des composants supplémentaires sur Internet. Le navigateur reçoit des commandes du serveur de commande et contrôle et télécharge de nouveaux modules et bibliothèques qui ajoutent de nouvelles fonctions et peuvent être utilisés pour mettre à jour le logiciel.

Durant notre analyse, par exemple, UC Browser a téléchargé une bibliothèque exécutable Linux depuis un serveur distant. La bibliothèque n’était pas malveillante ; elle fonctionne avec des documents et des fichiers PDF MS Office. Initialement, cette bibliothèque n’était pas dans le navigateur. Après son téléchargement, le navigateur a sauvegardé la bibliothèque dans son répertoire et l’a lancée. Ainsi, l’application est désormais en mesure de recevoir et d’exécuter un code en outrepassant les serveurs de Google Play. Ceci va à l’encontre des règles de Google concernant les logiciels proposés dans son Store.

La politique actuelle stipule que les applications téléchargées sur Google Play ne peuvent pas modifier leur propre code ni télécharger aucun composant logiciel provenant d’une source tierce. Cette règle a été mise en place afin d’empêcher la diffusion de Trojans modulaires qui téléchargent et lancent des plugins malveillants. Ce sont des malwares comme Android.RemoteCode.127.origin et Android.RemoteCode.152.origin dont nous avons parlé en Janvier et Avril 2018.

Une fonctionnalité de mise à jour potentiellement dangereuse est présente dans l’UC Browser depuis au moins 2016. Bien qu’il n’ait pas été constaté que l’application distribue des Trojans ou des logiciels indésirables, sa capacité à charger et à lancer de nouveaux modules non vérifiés représente une menace potentielle. Il est impossible d’être sûr que des cybercriminels ne pourraient pas mettre la main sur les serveurs du développeur du navigateur ou n’utiliseraient la fonctionnalité de mise à jour pour infecter des centaines de millions d’appareils Android.

La fonctionnalité vulnérable d’UC Browser peut être utilisée pour effectuer des attaques de « l’homme du milieu », « man-in-the-middle attacks » (MITM). Pour télécharger de nouveaux plugins, le navigateur envoie une requête au serveur de commande et contrôle et reçoit un lien vers un fichier en réponse. Dans la mesure où le navigateur communique avec le serveur via un canal non sécurisé (le protocole HTTP au lieu d’HTTPS, chiffré), les cybercriminels pourraient intercepter les requêtes depuis le navigateur. Ils pourraient remplacer les commandes par d’autres contenant différentes adresses. Ceci fait que le navigateur télécharge de nouveaux modules depuis un serveur malveillant au lieu de les télécharger depuis son propre serveur de commande et contrôle. Du fait que UC Browser fonctionne avec des plugins non signés, il lancera des modules malveillants sans aucune vérification.

Voici un exemple d’une attaque de ce type, montée par nos analystes. La vidéo montre une victime potentielle qui télécharge un document PDF via UC Browser et cherche à le consulter. Pour ouvrir le fichier, le navigateur cherche à télécharger le plugin correspondant depuis le serveur de commande et contrôle. Cependant, à cause de la substitution MITM, il télécharge et lance une bibliothèque différente. Cette bibliothèque créé ensuite un message texte disant « PWNED! ».

Ainsi, les attaques MITM peuvent aider les cybercriminels à utiliser UC Browser pour diffuser des plugins malveillants exécutant un panel d’actions. Par exemple, ils peuvent afficher des messages de phishing pour voler des noms d’utilisateur, mots de passe, données de cartes bancaires et d’autres données personnelles. De plus, les modules du Trojan seront capables d’accéder aux fichiers protégés du navigateur et de voler des mots de passe stockés dans le répertoire du programme.

En savoir plus sur cette vulnérabilité.

Le « petit frère » du navigateur, l’UC Browser Mini, peut également télécharger des composants non testés en outrepassant les serveurs de Google Play. Il a été équipé de cette fonctionnalité depuis au moins décembre 2017. Depuis, plus de 100 millions d’utilisateurs de Google Play ont téléchargé le programme. Cependant, l’attaque MITM ci-dessus ne fonctionnerait pas avec l’UC Browser Mini, contrairement à l’UC Browser.

Suite à la détection de cette fonction dans UC Browser et UC Browser Mini, les analystes de Doctor Web ont contacté les développeurs des deux navigateurs, qui n’ont pas souhaité commenter la question. Nos analystes ont également reporté le cas à Google mais au moment de la publication de cet article, les deux navigateurs sont toujours disponibles et peuvent télécharger de nouveaux composants en outrepassant les serveurs de Google Play. Les propriétaires d’appareils Android sont libres de continuer à utiliser ces programmes ou de les supprimer en attendant que les vulnérabilités soient patchées.

Les chercheurs de Doctor Web continuent leur étude.