Symantec a repéré une nouvelle forme de virus sur smartphone qui se montre particulièrement tenace : il est capable de se réinstaller de lui-même après une réinitialisation complète. Selon Symantec, le virux xHelper infecterait actuellement 131 nouveaux smartphones par jour. Une situation inquiétante si l’on considère que le virus en question est capable de se réinstaller automatiquement après une réinitialisation du smartphone aux paramètres d’usine.
Découvert en mars dernier, le malware aurait déjà contaminé plus de 45 000 terminaux à ce jour. La majorité des smartphones concernés sont localisés en Inde, aux USA et en Russie. Le virus en lui-même entraine l’apparition de publicités indésirables avec des popups intrusifs, mais aucune collecte de données personnelles à la clé. xHelper se propage via les pages de redirection d’applications sur Internet.
On le trouve également dans certaines applications proposées dans des marchés applicatifs alternatifs au Play Store. Actuellement, les experts en sécurité indiquent ne pas avoir de parade pour supprimer le virus en question d’autant que le trojan est en constante évolution afin de contourner les antivirus.
Ce cheval de Troie affecte les téléphones lors de téléchargement d’applications via une plateforme non officielle. Ce malware insert du code dans le système du téléphone, ce qui lui permet de se réinstaller automatiquement même après une réinitialisation du mobile.
Ci-dessous, le commentaire de l’expert, Arnaud Lemaire, Directeur Technique F5 France.
Ce malware est représentatif des deux principaux éléments que recherchent les cybercriminels aujourd’hui, à savoir :
- Une surface de présence à partir de laquelle ils pourront lancer des attaques. C’est tout le sujet de la sécurité des IoT, en notant que le mobile est un IoT et qu’il est l’objet connecté le plus répandu au monde (en effet, dans certains pays il y a plus de mobiles en circulation que d’habitants). Ce malware semble rentrer dans cette catégorie comme l’indique les chercheurs de Symantec, il semble pré-configuré pour identifier de futures cibles potentielles, comme notamment l’opérateur Indien Jio.
- Une capacité de collecte d’informations personnelles assez importante. Une fois présent, il va pouvoir récupérer des PII/données personnelles propre à l’activité des utilisateurs sur différents sites consultés.
Ce n’est pas la première fois que les mobiles Android sont pointés du doigt, le système étant beaucoup plus ouvert que les mobiles de la marque à la pomme. La plupart des terminaux Android sont ensuite repackagés, c’est-à-dire adaptés par les différents fournisseurs, que ce soit par le fabricant du téléphone lui-même ou par l’opérateur. Ce qui laisse la porte ouverte à de nouvelles failles de sécurité ou une compromission par la supply chain.
En dehors du risque de compromission de la suppy chain sur lequel un utilisateur ne peut rien faire, il est conseillé de suivre ces quelques règles de sécurité plus adaptées :
- Sur Android ne jamais « jail breaker » son téléphone, le risque ici est très important
- N’utiliser que les stores officiels, les responsables des stores luttent quotidiennement pour contrôler les applications publiées assurant ainsi un minimum de sécurité
- Bien valider la cohérence des droits d’accès demandées par les applications par rapport à son usage, il faudrait plus d’accompagnement sur cet aspect, de la part des fournisseurs de système d’exploitation pour conseiller les utilisateurs sur ces choix ».