Google se débarrasse de l’adware sous Android Chamois

Google s’est débarrassé récemment d’un nouveau malware pour Android dans son magasin d’applications : plusieurs apps malveillantes capables de manipuler le trafic publicitaire, d’envoyer des messages SMS à des numéros surtaxés ou de télécharger des plug-ins complémentaires ont été retirés de la circulation.

Lundi, un billet publié sur le blog de Google racontait que son service de sécurité informatique avait détecté une application potentiellement dangereuse avant de l’expulser de Google Play et de garantir ainsi la sécurité des utilisateurs. D’après ce que racontent les auteurs du billet, les malwares de la famille Chamois ont été détectés lors d’interventions planifiées visant à évaluer la qualité du trafic publicitaire. Cette nouvelle famille malveillante est relativement vaste et se propage via les canaux les plus divers.

Lors des essais, Chamois affichait des images qui masquaient de la publicité contextuelle : si la victime s’intéresse et commence à cliquer, du trafic d’escroquerie est généré depuis son appareil. De plus, ce malware est capable d’augmenter le classement des apps en les installant automatiquement en arrière-plan, d’envoyer des SMS payants à l’insu de l’utilisateur et de charger et de lancer des plug-ins complémentaires.

D’après Google, il est peu probable que l’utilisateur remarque l’infection car les auteurs de Chamois ont veillé à ce que le nom de l’app n’apparaisse pas dans la liste des apps installées. Ce nouvel adware échappe également soigneusement à la détection à l’aide d’outils d’analyse : il exploite l’obfuscation, utilise un stockage spécial pour les fichiers de configuration chiffrés et des codes supplémentaires et il a adopté un mode d’infection complexe qui repose sur la substitution du format des fichiers.

Google se débarrasse de l'adware sous Android Chamois

« Ce processus en plusieurs étapes complique davantage l’identification des apps de cette famille en tant qu’app dangereuse car pour atteindre le contenu malveillant, il faut d’abord retirer toutes les couches supérieures » écrivent les chercheurs.

Chamois a pu être détruit à l’aide de Verify Apps, le scanneur antivirus de Google. Verify Apps surveille l’état de l’écosystème Android, à la recherche d’anomalies. Il prévient les utilisateurs en cas de chargement d’une app suspecte et contribue à la désinstallation de telles apps. Il est également capable d’identifier de nouvelles menaces sur les appareils à l’aide de l’analyse du comportement.

Google avait évoqué son système de détection et de classement des applications potentiellement dangereuses (DOI, Dead or Insecure) au début de cette année. Les apps Android sont évaluées en fonction de leur capacité à se maintenir sur l’appareil (retention rate). Si la valeur de ce paramètre dépasse une valeur seuil alors que d’autres indicateurs de la sécurité informatique évoquent des risques d’activité malveillante, un drapeau rouge est levé pour cette application. Au cours des dix derniers mois, Verify Apps a permis d’identifier et d’expulser plusieurs parents de Chamois dont Ghost Push, Gooligan et Hummingbad.

Le billet du blog consacré à Chamois indique que « nombreuses sont les apps contenant Chamois auxquelles le système DOI a attribué une note élevée ».

Google n’a communiqué aucune information sur le nombre d’infections impliquant le nouveau malware. Nous savons par exemple qu’HummingBad, cette application publicitaire capable d’utiliser un rootkit avait réussi en 18 mois à s’établir sur 10 millions d’appareils Android et à rapporter près de 300 000 USD à ses exploitants.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *