Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le malware xHelper, qui arrive à rester sur un dispositif mobile malgré une restauration des paramètres d'usine,
A infecté plus de 45 000 smartphones Android ce mois-ci

Le , par Stéphane le calme

109PARTAGES

10  0 
Au cours des six derniers mois, une nouvelle souche de logiciels malveillants Android s’est imposée après avoir fait son apparition sur le radar de plusieurs éditeurs de logiciels antivirus et a perturbé les utilisateurs grâce à un mécanisme d’autoréinstallation qui l’a rendu presque impossible à supprimer.

Baptisé xHelper, ce logiciel malveillant a été détecté pour la première fois en mars, mais il a été étendu lentement pour infecter plus de 32 000 appareils en août (par Malwarebytes), pour finalement atteindre un total de 45 000 infections ce mois-ci (par Symantec).

Xhelper en action

Xhelper ne fournit pas une interface utilisateur régulière. Le malware est un composant d’application, ce qui signifie qu’il ne sera pas répertorié dans le lanceur d’applications de l’appareil. Cela facilite la tâche du logiciel malveillant dans la dissimulation de ses activités malveillantes.


Code utilisé pour supprimer une application du lanceur d'applications (en haut) et la liste des applications dans le lanceur (en bas)

Xhelper ne peut pas être lancé manuellement, car aucune icône d'application n'est visible sur le lanceur. Au lieu de cela, l'application malveillante est lancée par des événements externes, tels que le moment où le périphérique compromis est connecté ou déconnecté d'un bloc d'alimentation, le périphérique est redémarré ou une application est installée ou désinstallée.


Code de manifeste de Xhelper indiquant les événements qui déclencheront le malware

Une fois lancé, le logiciel malveillant s’enregistrera comme un service de premier plan, ce qui réduira ses chances d’être supprimé lorsque la mémoire est faible. Pour la persistance, le logiciel malveillant redémarre son service s'il est arrêté; une tactique commune utilisée par les logiciels malveillants mobiles.

Une fois que Xhelper est sur le périphérique de la victime, il commence à exécuter ses principales fonctionnalités malveillantes en déchiffrant en mémoire le contenu malveillant intégré à son package. La charge malveillante se connecte ensuite au serveur de commande et de contrôle de l'attaquant et attend les commandes. Pour empêcher cette communication d’être interceptée, l’identification de certificat SSL est utilisée pour toutes les communications entre l’appareil de la victime et le serveur C&C.

Une fois la connexion établie avec le serveur C&C, des charges utiles supplémentaires telles que des rootkits peuvent être téléchargées sur le périphérique compromis. Symantec pense que le pool de logiciels malveillants stockés sur le serveur C&C est vaste et doté de fonctionnalités variées, offrant à l'attaquant de nombreuses options, notamment le vol de données ou même la prise en charge complète du périphérique.

Un code en évolution

Symantec indique que :

« Nous avons commencé à voir les applications Xhelper en mars 2019. À cette époque, le code du malware était relativement simple et sa fonction principale consistait à consulter des pages de publicité à des fins de monétisation. Le code a changé au fil du temps. Initialement, la capacité du logiciel malveillant à se connecter à un serveur C&C était inscrite directement dans le logiciel malveillant, mais cette fonctionnalité a ensuite été déplacée vers une charge chiffrée, dans le but d’éviter la détection de signatures. Certaines variantes plus anciennes incluaient des classes vides non implémentées à l’époque, mais la fonctionnalité est maintenant complètement activée. Comme décrit précédemment, les fonctionnalités de Xhelper se sont considérablement développées ces derniers temps.

« Nous sommes fermement convaincus que le code source du malware est en cours d’élaboration. Par exemple, nous avons repéré de nombreuses classes et variables constantes appelées "Jio". Ces classes ne sont pas implémentées pour le moment, mais nous pensons que les attaquants envisagent de cibler les utilisateurs de Jio à une date ultérieure (Reliance Jio Infocomm Limited, également appelé Jio, est le plus grand réseau 4G en Inde, avec plus de 300 millions d'abonnés) ».


Les classes et les packages dans le code source Xhelper qui mentionnent Jio

Installé via des applications tierces

Selon Malwarebytes, ces infections proviennent de « redirections Web » qui dirigent les utilisateurs vers des pages Web hébergeant des applications Android. Ces sites expliquent aux utilisateurs comment charger en parallèle des applications Android non officielles en dehors du Play Store. Le code caché dans ces applications télécharge le cheval de Troie xHelper.

La bonne nouvelle est que le cheval de Troie n’effectue pas d’opérations destructrices. Selon Malwarebytes et Symantec, pendant la majeure partie de sa durée de vie opérationnelle, le cheval de Troie a affiché des annonces intrusives et des spams de notification. Les annonces et les notifications redirigent les utilisateurs vers le Play Store, où les victimes sont invitées à installer d'autres applications, un moyen par lequel les opérateurs derrière xHelper gagnent de l'argent grâce aux commissions de paiement à l'installation.

Mais la chose la plus « intéressante » est que xHelper ne fonctionne pas comme la plupart des autres logiciels malveillants Android. Une fois que le cheval de Troie a accès à un appareil Android via une application initiale, xHelper s’installe de manière autonome. La désinstallation de l'application d'origine ne supprimera donc pas xHelper et le cheval de Troie continuera à vivre sur les appareils des utilisateurs, en continuant d'afficher des fenêtres contextuelles et des spams de notification.

De plus, même si les utilisateurs repèrent le service xHelper dans la section Applications du système d'exploitation Android, sa suppression ne fonctionne pas, car le cheval de Troie se réinstalle à chaque fois, même après que les utilisateurs aient lancé une réinitialisée d'usine. Comment xHelper a-t-il survécu aux réinitialisations d'usine reste un mystère, cependant, Malwarebytes et Symantec ont déclaré que xHelper ne manipulait pas les applications système ainsi que les services système. En outre, Symantec a également déclaré qu'il était « improbable que Xhelper soit préinstallé sur les périphériques » :

« Aucun des échantillons que nous avons analysés n'était disponible sur le Google Play Store. S'il est possible que le programme malveillant Xhelper soit téléchargé par des utilisateurs provenant de sources inconnues, nous pensons qu'il ne s'agit peut-être pas du seul canal de distribution.

« Depuis notre télémétrie, ces applications ont été installées plus fréquemment sur certaines marques de téléphones, ce qui laisse à penser que les pirates pourraient se concentrer sur des marques spécifiques. Cependant, nous pensons qu’il est improbable que Xhelper soit préinstallé sur des appareils, ces applications n’ayant aucune indication d’être des applications système. En outre, de nombreux utilisateurs se sont plaints sur les forums de la présence persistante de ce logiciel malveillant sur leurs appareils, en dépit des réinitialisations d'usine et de la désinstallation manuelle. Étant donné qu'il est peu probable que les applications soient des applications système, cela suggère qu'une autre application système malveillante télécharge de manière persistante le programme malveillant, ce que nous étudions actuellement ».

Forte probabilité d'infection

Malwarebytes a déclaré ceci :

« Avec xHelper figurant sur notre top 10 des applications malveillantes les plus détectées, il y a de fortes chances pour que les utilisateurs sur ndroid le découvrent. Depuis que nous avons ajouté la détection mi-mai 2019, elle a été retirée de près de 33 000 appareils mobiles exécutant Malwarebytes pour Android. Ce nombre continue d'augmenter par centaines chaque jour.

« La grande question : quelle est la source d’infection qui fait que ce cheval de Troie prend autant d'ampleur ? De toute évidence, ce type de trafic ne proviendrait pas de l’installation négligente d’applications tierces. Une analyse plus poussée montre que xHelper est hébergé sur des adresses IP aux États-Unis. L'un a été trouvé à New York, New York; et un autre à Dallas, au Texas. Par conséquent, il est prudent de dire que c’est une attaque visant les États-Unis.

« Nous pouvons, pour l’essentiel, conclure que cette infection mobile est propagée par des redirections Web, peut-être par le biais des sites Web des jeux susmentionnés, hébergés également aux États-Unis, ou d’autres sites Web fantômes.

« Si cette affirmation est confirmée, notre théorie souligne la nécessité de faire attention aux sites Web mobiles que vous visitez. De plus, si votre navigateur Web vous redirige vers un autre site, faites très attention de ne rien cliquer. Dans la plupart des cas, il suffit de quitter le site Web à l’aide de la touche Retour d’Android pour rester en sécurité ».

Sources : Malwarebytes, Symantec

Et vous ?

Quelles sont les recommandations que vous pourriez faire pour améliorer la sécurité de son dispositif mobile ?
Qu'est-ce qui, selon vous, pourrait expliquer la tendance du public qui se croit moins vulnérable sur mobile que sur PC ?

Voir aussi :

Joyeux anniversaire à Unix ! L'OS ayant donné naissance à BSD, GNU/Linux, Android, iOS et macOS souffle sa 50e bougie
L'application Your Phone permet maintenant de répondre aux messages et aux appels Android via un PC, grâce à sa nouvelle fonctionnalité sur Windows 10 dénommée « Appels »
Google, Samsung, Xiaomi, Huawei et autres affectés par une faille zéro-day dans le système d'exploitation mobile Android, qui déverrouille l'accès root des appareils cibles
API Java dans Android : la meilleure avocate d'Oracle tente de « manipuler » toute la communauté logicielle, en insistant sur le fait que « l'API Java est exécutable »

Une erreur dans cette actualité ? Signalez-le nous !