ActualitéAndroidGoogleHigh TechMobileSécurité

45 000 appareils Android infectés par un nouveau malware non amovible xHelper

Un nouveau type de malware Android capable de se réinstaller même après avoir été supprimé manuellement aurait infecté plus de 45 000 appareils Android au cours des six derniers mois.

Les dernières découvertes – divulguées par la société de cybersécurité Symantecfont suite à une divulgation similaire de MalwareBytes, qui avait détecté le malware à l’état sauvage en mai 2019.

Appelé xHelper, le cheval de Troie – qui touche principalement les utilisateurs en Inde, aux États-Unis et en Russie – figure depuis dans la liste des 10 logiciels malveillants les plus détectés pour les mobiles, Symantec observant ce qu’il appelle «une vague de détections» des logiciels malveillants Android peut se cacher des utilisateurs, télécharger des applications malveillantes supplémentaires et afficher des publicités.

«Au cours du seul mois écoulé, 131 appareils ont été infectés chaque jour en moyenne, et 2 400 en moyenne ont été infectés de manière persistante au cours du mois», a déclaré la société.

Origines mystérieuses

Alors que l’origine de l’application malveillante contenant le programme malveillant Xhelper fait actuellement l’objet d’une enquête active, Symantec soupçonne que l’infection est probablement téléchargée par des utilisateurs de sources inconnues via une application système malveillante qui télécharge le programme malveillant de manière persistante même si les utilisateurs effectuent des réinitialisations d’usine et le désinstallent manuellement.

Les chercheurs de MalwareBytes, d’autre part, pensent qu’ils sont transmis via des sites Web de jeux louches qui incitent les utilisateurs non avertis à télécharger des applications à partir de sources tierces non fiables.

En plus de fonctionner silencieusement en arrière-plan, xHelper optimise son comportement furtif en ne créant pas d’icône d’application ou de raccourci sur le lanceur de l’écran d’accueil. Le seul indicateur est une liste dans la section Informations sur l’application des paramètres du téléphone infecté.

L’absence d’une icône d’application signifie que le logiciel malveillant ne peut pas être lancé manuellement. Mais pour résoudre le problème, il faut s’appuyer sur des déclencheurs externes, tels que la connexion ou la déconnexion du périphérique infecté d’une source d’alimentation, le redémarrage d’un périphérique, l’installation ou la désinstallation d’une application, pour s’exécuter en tant que service de premier plan réduisant au minimum les risques de destruction.

Du logiciel publicitaire à la menace puissante

La bonne nouvelle, s’il en existe un, c’est que le malware n’agit pas de manière particulièrement sophistiquée, si ce n’est bombarder les propriétaires d’appareils avec des annonces intrusives et spammer l’appareil avec des notifications pour les jeux gratuits. Mais il pourrait être facilement exploité pour fournir des charges utiles de logiciels malveillants de seconde phase supplémentaires, grâce à sa tactique d’évasion méticuleusement élaborée pour éviter la détection.

Cela pourrait facilement transformer le malware en agaçant un adware en menace de sécurité importante, capable d’installer d’autres applications malveillantes sur le périphérique ou même de prendre le contrôle à distance du périphérique.

Symantec a déclaré que les fonctionnalités de xHelper se sont considérablement développées ces derniers temps, bien que les chercheurs le préviennent de l’évolution constante de sa cible. Le code inachevé – comportant de nombreuses variables intitulées «Jio» – a conduit les chercheurs à penser que les attaquants envisageaient peut-être de cibler les utilisateurs de Jio à une date ultérieure.

Pour ceux qui ne sont pas familiers, Jio est le deuxième plus grand réseau cellulaire en Inde exploité par Reliance Industries, qui compte plus de 300 millions d’abonnés.

Pour protéger vos appareils contre de telles attaques, il est toujours recommandé de garder les appareils et les applications à jour, et de vous en tenir au Google Play Store.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page