android malware

Des chercheurs du Lookout Threat Lab ont découvert un nouveau malware, qu'ils ont appelé AbstractEmu.

Ce malware est présent dans des applications utilitaires dans le Google Play Store et d'autres magasins d'applications, et peut obtenir un accès root sur le téléphone infecté.

Plusieurs vulnérabilités exploitées par le malware

Des chercheurs du Lookout Threat Lab ont trouvé 19 nouvelles applications infectées dans le Google Play Store et d'autres magasins d'applications sur Android. Toutes ces applications contenaient un malware, nommé par les chercheurs AbstractEmu, particulièrement dangereux par sa capacité à obtenir un accès root sur un appareil infecté.

AbstractEmu se cache dans des applications utilitaires, comme des gestionnaires de mots de passe, de fichiers, des applications de gestion de budget et des lanceurs d'applications. L'une d'entre elles, et la seule à avoir été présente sur le magasin de Google, Lite Launcher, a été téléchargée plus de 10 000 fois. Toutes les applications fonctionnaient normalement du point de vue de l'utilisateur, pendant que le malware agissait discrètement. Il faut que l'application soit lancée au moins une fois pour activer le virus, qui attend des instructions de son serveur de commande et de contrôle. Ce dernier peut lui ordonner de récupérer des informations sur le système ou sur l'utilisateur, récupérer et modifier des fichiers et enfin, rooter l'appareil et installer une nouvelle application.

Pour pouvoir toucher un grand nombre de victimes, AbstractEmu contient des exploits pour cinq vulnérabilités, dont certaines datent de 2020 et 2019. Les plus notables sont la CVE-2020-0041, qui permettait une élévation des privilèges locale et qui n'a jamais été exploitée dans la nature auparavant, et la CVE-2020-0069, une vulnérabilité présente dans les puces MediaTek et qui touchait des millions d'appareils. Toutes ces vulnérabilités ont été corrigées, mais les smartphones Android ne reçoivent des mises à jour que pour un temps limité. Le malware exécute ces exploits dans un certain ordre, qui peut être changé à partir des informations récupérées auparavant, pour arriver jusqu'au rootage de l'appareil.

Des victimes présentes dans 17 pays

Une fois l'accès root obtenu, le malware installe une autre application qui obtient des permissions intrusives et récolte de nombreuses informations. Il peut également surveiller les notifications, prendre des captures d'écran, modifier le mot de passe de l'appareil ou avoir accès aux données sensibles d'autres applications.

Les chercheurs ne connaissent pas l'identité précise des acteurs malveillants, mais ont fait quelques déductions à partir des informations récupérées lors de l'analyse du malware. Ils pensent que le groupe possède beaucoup de ressources techniques, comme démontré par leurs modifications d'exploits publics afin de les rendre capables de viser plus de cibles, ou par leurs techniques pour éviter la détection. Ils semblent aussi motivés par un aspect financier, leur malware ressemblant énormément à un trojan bancaire. Les chercheurs n'ont pas réussi à déterminer leur objectif final à cause de la désactivation des endpoints permettant de récupérer le dernier payload.

Les victimes se trouvent principalement aux États-Unis, mais des utilisateurs dans 17 autres pays ont été touchés. Lite Launcher a été supprimée du Play Store, mais les autres applications continuent d'être disponibles dans des magasins d'applications tiers.