Les analystes du Doctor Web Lab ont publié une étude (ci-jointe) sur de nouveaux échantillons des trojans de la famille Android.Xiny, connue depuis 2015. En 2016, Doctor Web avait notamment averti les utilisateurs de cette menace.
Tribune Dr Web Lab – Les pirates continuent à publier de nouvelles versions de ce trojan, qui fonctionne sur les appareils utilisant Android en version 5.1 et antérieures. Malgré leur ancienneté, les anciennes versions de firmware sont encore utilisées dans le monde, et selon les estimations de Google, le 7 mai 2019, 25,2% des appareils fonctionnaient encore sous Android 5.1 ou sous des versions antérieures.
25% des utilisateurs Android sont une cible potentielle pour les pirates
Les appareils possédant des vulnérabilités sont toujours les plus intéressants pour les concepteurs de virus. Depuis ses premières versions, la fonction principale du trojan Android.Xiny est l’installation d’applications sur l’appareil, sans aucune autorisation de l’utilisateur. Les attaquants peuvent ainsi, par exemple, gagner de l’argent en participant à des programmes d’affiliation qui les rémunèrent pour l’installation d’application.
Les concepteurs de virus diffusent activement des trojans similaires via différents sites web tels que des catalogues de logiciels pour les appareils mobiles ou bien via le catalogue officiel Google Play.
Une fois téléchargés sur un Smartphone ou une tablette Android, ces trojans tentent d’obtenir un accès root afin de pouvoir télécharger et installer différents logiciels d’une manière transparente. De plus, ils peuvent afficher des publicités intempestives. Une des caractéristiques de ces applications malveillantes est qu’elles possèdent un mécanisme de protection contre la suppression qui est inédit dans ce type de malware.
Les utilisateurs de notre antivirus sont protégés contre les modifications de ce trojan. Une fois installé, Dr.Web détecte ce trojan et l’empêche de démarrer. Si l’appareil a déjà été contaminé par un tel trojan, nous recommandons d’utiliser une image officielle de l’OS pour re-flacher le firmware. Mais vous ne devez pas oublier que dans ce cas, tous les fichiers et applications seront supprimés, il est donc nécessaire de créer d’abord des copies de sauvegarde.
A la fin de l’année dernière, à l’aide de la fonction de détection de modifications dans la zone système, chez certains de nos utilisateurs, une modification du fichier système /system/lib/libc.so a été détectée. C’est l’une des bibliothèques principales des systèmes d’exploitation basés sur Linux, qui est responsable des appels système et des fonctions principales. Une étude détaillée de ce cas nous a permis de révéler de nouveaux échantillons de la famille de trojans Android.Xiny que l’on connait depuis 2015.
Pour la première fois dans les représentants de cette famille de malwares, nous avons vu l’attribut “non modifiable” installé sur des fichiers, ce qui rendait la suppression des malwares plus compliquée. L’attribut était installé sur le fichier apk d’une application installée sur un appareil, de sorte que la suppression de l’application semblait réussie, alors que le fichier APK restait intact. Après un redémarrage de l’appareil, l’application réapparaissait. Nous avons déjà décrit un malware de ce type en 2016. Pour lutter contre ces menaces, nous avons ajouté à notre antivirus une fonction permettant de retirer les attributs des fichiers qui est opérationnelle à condition que l’utilisateur donne à l’antivirus l’accès root.
Le trojan que nous examinons dans cet article fonctionne sous Android jusqu’à la version 5.1 incluse. Il peut paraître bizarre qu’un logiciel malveillant conçu pour des versions si anciennes d’Android soit toujours actif (la version 5.1 a été publié en 2015). Mais, malgré leur ancienneté, ces versions sont encore utilisées. Selon les estimations de Google, vers le 7 mai 2019, 25,2% des appareils fonctionnaient sous Android 5.1 et des versions plus anciennes. Nos statistiques donnent un chiffre légèrement plus élevé – environ 26%. Cela signifie qu’environ un quart des appareils Android sont des cibles potentielles de ces malwares. Étant donné que ces dispositifs sont soumis à des vulnérabilités qui ne seront jamais corrigées, il n’est pas surprenant que les anciennes versions de l’OS Android soient encore intéressantes pour les auteurs de virus. L’accès root obtenu via ces vulnérabilités leur permet de faire tout ce qu’ils veulent sur l’appareil, alors qu’il sert normalement à l’installation d’applications.
Fonctions principales du Trojan
Depuis ses premières versions, la fonction principale du cheval de Troie Android.Xiny est l’installation d’applications sur l’appareil sans aucune autorisation de l’utilisateur. Les attaquants peuvent ainsi par exemple gagner de l’argent en participant à des programmes d’affiliation qui les rémunèrent pour l’installation d’applis. Il semble que ce soit l’une de leurs principales sources de revenus. Après le lancement d’un de ces malwares, il est possible de rendre un appareil complètement inutilisable en quelques minutes seulement, avec une multitude d’applications inoffensives mais inutiles en cours d’exécution. De plus, ces chevaux de Troie peuvent installer des logiciels malveillants, en fonction des instructions reçues du serveur de gestion. La chose la plus intéressante qui distingue les nouvelles versions du cheval de Troie Android.Xiny des anciennes est son mécanisme de protection contre la suppression. Deux composants sont responsables de cette fonction.
Comment lutter contre ce trojan ?
Pour se débarrasser d’Android.Xiny.5260, vous pouvez re-flacher le dispositif mais à condition qu’un firmware correspondant soit disponible. Est-il possible de supprimer ce programme malveillant d’une autre manière ? C’est possible mais difficile. Il existe plusieurs façons de faire. Pour obtenir l’accès root, il est possible d’utiliser des exploits sous forme de bibliothèques so. Le trojan ne bloque pas leur téléchargement, contrairement à ce qu’il fait pour les fichiers exécutables. Il est également possible d’utiliser le composant du trojan qui est destiné à fournir l’accès root à ses autres composants. Il reçoit des commandes via un socket sur le chemin /dev/socket/hs_linux_work201908091350 (le chemin peut être différent en fonction des versions). Pour contourner le blocage mount, il est possible d’utiliser la valeur ” magique ” du paramètre mountflags, ou d’appeler directement le syscall approprié.
Pour des raisons évidentes, nous n’allons pas le faire. Si votre appareil a été contaminé par un de ces malwares, nous recommandons d’utiliser une image officielle de l’OS pour reflâcher le firmware. Mais vous ne devez pas oublier que dans ce cas, tous les fichiers et applications seront supprimés, il est donc nécessaire de créer d’abord des copies de sauvegarde.
Les commentaires sont fermés.