L’univers des logiciels malveillants ne cesse d’évoluer : pour preuve, des chercheurs de l'entreprise de sécurité ESET viennent de découvrir le premier malware capable de changer le code PIN d’un terminal Android. Seule solution pour s’en débarrasser : réinitialiser le téléphone avec ses réglages d'usine, et détruire toutes les données…
Le malware lui-même s’appelle « Porn Droid ». Il se fait passer pour un lecteur de contenus pour adulte. « Pour l’instant, on le trouve uniquement sur des magasins d’applications Android de tierce partie ou sur des forums de logiciels piratés », a déclaré Lukas Stefanko, spécialiste en malware chez ESET. Mais, après installation, un message d’alerte émanant prétendument du FBI demande à l’utilisateur de payer une amende de 500 dollars sous trois jours pour « pornographie interdite ».
Une fois le code PIN changé...
Pour modifier le code PIN du terminal, le ransomware « Porn Droid » a besoin d'un accès de niveau administrateur. Selon l’analyste d’ESET, le malware utilise une nouvelle méthode pour obtenir cet accès. Au moment du démarrage de Porn Droid, le logiciel demande à l’utilisateur de cliquer sur un bouton pour activer le lecteur. Mais ce bouton cache un autre bouton qui accorde des privilèges d’administration à l’application. « Après avoir cliqué, l'appareil de l'utilisateur est condamné », écrit Lukas Stefanko. « Avec les droits d'administration, le Cheval de Troie peut désormais verrouiller l'appareil. Pire encore, il change le code PIN de déverrouillage ».
Certains malwares Android sont capables de verrouiller l'écran et d’empêcher la suppression du message de demande de rançon qui s’affiche au premier plan en utilisant une boucle infinie. Mais, selon l’analyste, il est possible de s’en débarrasser en utilisant un outil de ligne de commande et la passerelle de débogage Android ou en désactivant les droits d'administrateur en mode sans échec. « Mais dans le cas de Porn Droid, si quelqu'un essaie de désactiver les privilèges d'administrateur, le malware utilise une fonction de rappel pour les réactiver », écrit encore Lukas Stefanko. Le malware est également codé pour fermer trois produits antivirus mobiles : Dr Web, EST Mobile Security et Avast.
Un accès root indispensable pour virer le malware
Mais les utilisateurs les plus aguerris pourront se débarrasser de « Porn Droid » sans réinitialiser ni effacer les données de leur téléphone. « Si un utilisateur possède des privilèges root sur le terminal, il peut supprimer les logiciels malveillants, et certains logiciels de sécurité peuvent le bloquer », écrit Lukas Stefanko. Les attaques de ransomware, qui visent aussi bien les ordinateurs desktop que les téléphones mobiles, sont une des escroqueries les plus persistantes et préjudiciables en cours sur Internet. Une des méthodes est particulièrement répandue : le malware crypte les fichiers de l’utilisateur et le pirate demande une rançon en échange de la clef de décryptage. En général, les experts en sécurité conseillent de ne pas payer, car souvent, les fraudeurs n’envoient pas la clef de décryptage à la victime.
Le bug, ce n'est pas d'autoriser un logiciel bénéficiant des droits d'admin à modifier le code PIN (il est nécessaire d'exhiber une API de modification de PIN pour que les utilisateurs puissent changer leur code), c'est de conférer à une appli les droits d'admin sans demander confirmation à l'utilisateur.
Signaler un abusLa phrase "Mais ce bouton cache un autre bouton qui accorde des privilèges d’administration à l’application" pose problème, car l'action déclenchée par cet "autre bouton" devrait systématiquement provoquer une demande de validation explicite (sans possibilité de contournement applicatif) à l'utilisateur, du type:
"Confirmez-vous que vous donnez les droits d'administration à l'application XXX ?"
Sur refus de l'utilisateur, les privilèges admin ne seraient pas accordés à l'application, qui ne pourrait donc pas modifier le code PIN.
Effectivement Nathan, je rejoins votre commentaire.
Signaler un abusPeut-on m'expliquer comment une apps est autorisée à modifier un code PIN ???? Ils sont où les ingénieurs en sécurité de mes 2 ?? C'est plus gérable du tout ce genre de faille pour les utilisateurs ...