Le 20 janvier 2016

L’année passée a été marquée par un certain nombre de Trojans ciblant les firmwares Android capables de télécharger et d’installer de façon masquée des logiciels et d’afficher des publicités intempestives. Android.Cooee.1, par exemple, a été incorporé au shell graphique d’un Smartphone chinois bon marché. Et les cybercriminels ont continué à diffuser ce malware. Cette fois, les chercheurs de Doctor Web ont détecté ce Trojan sur le firmware d’un fabricant très connu.

Android.Cooee.1 a été découvert sur plusieurs appareils Android de marque peu connue et bon marché en octobre 2015. Le nouveau cas d’infection d’un firmware Android par ce malware montre que l’activité des cybercriminels dans ce domaine ne cesse de croître puisqu’il a cette fois été détecté sur un Philips s307. Les chercheurs de Doctor Web ont informé le fabricant, qui recherche actuellement une solution au problème.

Android.Cooee.1 est un launcher malveillant (Android graphical shell) qui, en plus de ces fonctions « standard », affiche des publicités intempestives et télécharge et installe différents logiciels. Il est notamment capable d’afficher des publicités dans la barre d’état, en plein écran, ou en haut des applications en cours d’exécution. Il peut également afficher des publicités vidéo et des animations sur l’écran d’accueil. Il est à noter que le Trojan ne commence pas à afficher ses publicités tout de suite après le premier lancement du système, mais un peu après. Ainsi, la source exacte de ces notifications parasites demeure inconnue, l’utilisateur pouvant penser qu’elles viennent des applications installées.

Considérant qu’Android.Cooee.1 est, en fait, un programme système, les logiciels téléchargés par ce malware sont installés à l’insu de l’utilisateur. La gamme des applications téléchargées est extrêmement large, allant du simple jeu au navigateur web, jusqu’à des programmes malveillants variés comme des Trojans SMS et downloader et même des Trojans bancaires capables de voler de l’argent sur les comptes en ligne.

Android.Cooee.1 étant intégré au firmware, il n’est pas possible de s’en débarrasser en restaurant les paramètres par défaut de l’appareil. Un des moyens de le supprimer est d’obtenir les privilèges root. Cependant, même dans ce cas, la suppression d’ Android.Cooee.1 « tuera » l’appareil. Le problème est que le launcher qui contient le programme est responsable du chargement normal du système. C’est pourquoi, avant de supprimer l’application malveillante, il est nécessaire d’installer un launcher alternatif et de le définir par défaut. De plus, si vous possédez les privilèges root, la garantie officielle du fabricant devient invalide. Enfin, il existe un risque élevé de rendre l’appareil non opérationnel si son firmware ou système de fichiers sont manipulés par un utilisateur inexpérimenté. Dans ce contexte, la solution la plus sûre est de contacter le fabricant de l’appareil et de lui demander de publier une mise à jour du firmware.

Par ailleurs, pour éviter l’infection, il n’est malheureusement pas suffisant de télécharger des applications depuis des sources fiables. Les cybercriminels utilisent de plus en plus la technique de pré-installation des malwares directement sur les appareils Android achetés sur Internet ou dans une boutique.

Les chercheurs de Doctor Web recommandent aux utilisateurs d’Android d’installer un antivirus efficace et fiable qui puisse détecter ce type de Trojans.