Infos

Risque élevé posé par une bibliothèque de publicités mobile pour Android non nommées

Michael Mimoso

Des experts en sécurité ont découvert une bibliothèque de publicités mobile sous Android diffusée via Google Play capable de récolter des données sur l’appareil ou d’exécuter un code malveillant.

Le plus inquiétant est que cette bibliothèque en particulier se trouve dans près de 2 % d’applications Android comptant plus d’un million de téléchargements sur Google Play et d’après les déclarations d’hier des chercheurs de FireEye, ces applications ont été téléchargées plus de 200 millions de fois.

Les experts refusent de nommer la bibliothèque mais ils affirment qu’ils ont averti Google et l’éditeur de la bibliothèque et que ces derniers cherchent une solution au problème.

Les bibliothèques de publicité mobiles permettent aux applications d’afficher des publicités ; en général, elles récoltent les identificateurs IMEI et IMSI des appareils. Mais cette bibliothèque en particulier, baptisée Vulna par FireEye va bien plus loin. Elle est capable de récolter les SMS, les contacts et les détails des appels et elle est en mesure d’exécuter du code.

Les experts de FireEye expliquent que "Vulna contient également plusieurs vulnérabilités. Un individu malintentionné qui exploiterait celles-ci pourrait utiliser les fonctionnalités risquées et agressives de Vulna à des fins malveillantes comme l’activation de la caméra et la prise de photo à l’insu de l’utilisateur, le vol des messages d’authentification à deux facteurs envoyés par SMS ou intégrer l’appareil à un réseau de zombies".

Une des vulnérabilités découvertes par FireEye est le transfert des informations privées de l’utilisateur en clair via HTTP, ce qui permet à l’auteur de l’attaque de les consulter. Le protocole HTTP est également utilisé pour la transmission des commandes depuis le serveur de commande. "Un individu malintentionné peut transformer Vulna en un réseau de zombies en détournant son trafic HTTP et en envoyant des commandes et des codes malveillants" affirment les chercheurs.

Il existe également une faiblesse au niveau de Java et de la manière dont il peut utiliser la fonction Web View d’Android qui pourrait permettre à un individu malintentionné d’envoyer un javascript malveillant. Toutes ces conditions, associées aux autorisations octroyées à cette bibliothèque de publicité, comme le contrôle de la caméra ou l’accès aux SMS, pourraient offrir à un individu malintentionné diverses options pour organiser des attaques de phishing, envoyer des SMS à des numéros surtaxés ou violer la vie privée de l’utilisateur en prenant des photos à son insu, en volant des mots de passe ou en consultant l’historique de la navigation sur Internet.

Les experts affirment que la bibliothèque expose l’appareil de l’utilisateur à différents codes d’exploitation comme des attaques de type homme du milieu sur des points d’accès Wi-Fi publics ou même des attaques de détournement de DNS qui renvoient le navigateur de l’appareil vers un site contrôlé par l’auteur de l’attaque.

Comme si cela ne suffisait pas, les activités de la bibliothèque sont difficiles à détecter car les commandes qu’elle reçoit depuis son serveur de commande prennent la forme de données codées dans les champs d’en-tête HTTP et non pas dans le corps de la réponse. Selon les experts, le code source est également obfusqué, ce qui signifie que son comportement est difficile à analyser.

"Dans un jeu très populaire, Vulna est exécuté uniquement à certaines étapes, par exemple quand un niveau en particulier est atteint. Le code malveillant se déroule en arrière-plan, loin du regard du joueur" expliquent les chercheurs.

FireEye met en garde contre la menace croissante que représente les bibliothèques de publicité malveillantes, surtout pour les entreprises qui autorisent leurs employés à accéder aux ressources réseaux depuis les appareils mobiles personnels.

FireEy affirme "Que l’agressivité manifestée par ces bibliothèques de publicité dans la collecte des données sensibles des utilisateurs et l’intégration de capacités d’exécution d’opérations dangereuses à la demande est troublante. Ces bibliothèques contiennent également différentes catégories de vulnérabilités qui permettent aux individus malintentionnés de nuire aux utilisateurs à l’aide de ces comportements agressifs. Les développeurs d’applications qui utilisent ces bibliothèques tierces ignorent souvent les problèmes de sécurités qu’elles renferment."

Risque élevé posé par une bibliothèque de publicités mobile pour Android non nommées

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception