Lors de la conférence RSA 2012, les anciens cadres de McAfee George Kurtz et Dmitri Alperovitch, qui ont créé leur nouvelle start-up CrowdStrike, ont présenté un outil d'accès à distance (RAT) qui infecte les smartphones sous Android (version 2.2).
Ils ont utilisé un bug qui n'a pas encore été corrigé dans le webkit du navigateur Android pour injecter des malwares. Les chercheurs disent qu'ils ont acheté l'information et une gamme d'autres outils sur le marché noir. L'exploit utilisé est apparemment basé sur une vingtaine d'éléments pour un coût total de $1.400 sur le marché noir.
L'infection est basée sur un message SMS prétendument envoyé par l'opérateur de l'utilisateur. Le message contient la demande de télécharger une mise à jour importante et fournit un lien vers cette mise à jour présumée. Un clic sur le lien suffit à infecter le smartphone (ce qui signifie que les infections de type drive-by ont désormais atteint le monde des smartphones). Le lien télécharge le malware et iexécute le loader, ce qui bloque le dispositif et installe les composants logiciels malveillants lors du redémarrage.
Ce malware est basé sur le trojan Nickspy qui a perduré un certains temps. Les chercheurs l'ont acheté puis modifié. Ils ont également créé une commande dédiée et une infrastructure pour contrôler les périphériques en se basant sur les autres outils qu'ils ont acheté. Les experts estiment que le temps qu'ils ont passé à adapter et développer le code nécessaire vaudrait environ $14.000.
Une fois installé, le trojan enregistre les conversations téléphoniques, active l'appareil photo du smartphone, lit les numéros composés, copie les SMS stockés et transmet l'emplacement actuel du téléphone au serveur. L'emplacement est idéalement affiché sur Google Maps (comme vous pouvez le voir d'après le screenshot en début d'article) et les données peuvent être lues et transmises en cliquant sur le symbole du téléphone infecté.
Kurtz a souligné que la vulnérabilité exploitée sur le webkit peut, en principe, également être utilisée pour installer des trojans sur les systèmes d'exploitation autres qu'Android. Il dit que sur les systèmes iOS la même procédure peut être effectuée et qu'il suffit d'avoir les privilèges pour l'exécution de code via le navigateur afin de contourner l'App Store, mais cela demanderait plus de travail.
A la fin de leur présentation, les chercheurs ont mis le niveau de menace créé par leur découverte en perspective en disant que les logiciels espions, comme les outils commerciaux d'espionnage, ont existé un certain temps, et que les infections de type drive-by feront parties de l'environnement des smartphones.
Le petit conseil judicieux que je peux vous donner c'est tout d'abord de ne pas cliquer sur n'importe quoi et d'appeler à la rigueur votre opérateur si vous recevez un message étrange. Ensuite changez de navigateur et optez pour Dolphin Browser par exemple
Mais comme le dit Kurtz : "The sky is not falling, these are very targeted attacks"
Edit : Des experts en sécurité ont donné de plus amples informations à ce sujet. Les failles de sécurité en question ont déjà été corrigées dans le webkit Android, mais Google n'a pas encore intégré ces correctifs dans son code source. Par conséquent, aucun fabriquant de smartphones ne peut patcher ses ROMs, ce qui signifie que tous les smartphones Android sont vulnérables.
![]() | blogs.computerworld.com |
MISES A JOUR DE L'ARTICLE |