Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 023
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 023
    Points : 103 758
    Points
    103 758

    Par défaut Avast découvre des adwares pré-installés sur de nombreux smartphones Android d'entrée de gamme

    Avast découvre des adwares pré-installés sur de nombreux smartphones Android d'entrée de gamme,
    la France figure parmi les pays les plus touchés

    Avast a constaté que de nombreux téléphones Android d’entrée de gamme, dont la majorité ne sont pas certifiés par Google, sont livrés avec une variété de logiciels malveillants déjà préinstallés qui peuvent inciter des utilisateurs à télécharger des applications auxquelles ils n'avaient pas l'intention d'accéder. Parmi les appareils concernés figurent des appareils conçus par ZTE, Archos et myPhone.

    Avast explique que le logiciel malveillant, appelé Cosiloon, effectue une superposition afin d’afficher une publicité sur une page Web dans le navigateur des utilisateurs. Le logiciel publicitaire est actif depuis au moins trois ans et est difficile à supprimer car il est installé au niveau du firmware et utilise une obfuscation forte. Des milliers d'utilisateurs sont concernés et le mois dernier, Avast assure avoir vu la dernière version de l'adware sur environ 18 000 appareils appartenant à des utilisateurs Avast situés dans plus de 100 pays, dont la Russie, l'Italie, l'Allemagne, le Royaume-Uni et même aux Etats-Unis

    Nom : avast_cosiloon.png
Affichages : 4952
Taille : 114,7 Ko

    Le spécialiste a expliqué avoir des échantillons Android étranges qui arrivent dans sa base de données de temps en temps depuis quelques années déjà. Les échantillons semblaient être comme n'importe quel autre échantillon d'adware, à l'exception du fait que l'adware semblait n'avoir aucun point d'infection et disposait de plusieurs noms de paquets similaires, les plus communs étant:
    • com.google.eMediaService
    • com.google.eMusic1Service
    • com.google.ePlay3Service
    • com.google.eVideo2Service

    « Récemment, un des échantillons s’est distingué dans nos statistiques de détection après que notre plateforme d'intelligence de menace d'apk.io l'ait marquée comme étant un malware. C’est alors que nous avons commencé à creuser. Il s'avère que ces paquets de logiciels publicitaires ne sont que des charges utiles supprimées d'une application système préinstallée par le fabricant sur une quantité surprenante de divers appareils. Ce qui est encore plus surprenant est que le premier échantillon de l’injecteur, qui est une application qui télécharge d'autres applications malveillantes, que nous avons à notre disposition date de janvier 2015 et a été préinstallé sur une tablette à faible coût vendue en Pologne. De plus, les dates sur les fichiers à l'intérieur du fichier APK le plus ancien dont nous disposons remontent à quelques années ; certaines sont datées du 1er janvier 2016 et d’autres du 7 mars 2013. Cette famille d'adware a également de nombreuses variantes de charge utile et de l’injecteur, indiquant un développement continu », explique l’entreprise.

    Analyse de l’application

    L’ensemble est composé de deux fichiers APK distincts; de l’injecteur et de la charge utile.

    L’injecteur est une petite application sans obfuscation, située sur la partition /system des périphériques affectés. L'application est complètement passive, visible uniquement par l'utilisateur dans la liste des applications système sous "Paramètres". Avast a observé des injecteurs avec deux noms différents, "CrashService" et "ImeMess". L’entreprise assure qu’il en existe plusieurs versions, toutes partageant le même comportement de base:
    1. Ils téléchargent un manifeste à partir de http://www.cosiloon.com/version.xml lorsque l'appareil est connecté au Wi-Fi. Différents sous-domaines (abc, abd) et différents noms de fichiers (version_2.xml, version_3.xml, information.xml) sont également utilisés, vraisemblablement pour le débogage.
      Le manifeste XML contient des informations sur les éléments à télécharger, les services à démarrer et contient une liste blanche programmée pour exclure potentiellement des pays et des périphériques spécifiques de l'infection. Mais Avast n’a pas pu voir la liste blanche des pays qui a été utilisée, et seulement quelques périphériques ont été ajoutés à la liste blanche dans les premières versions.
    2. Ensuite, l’injecteur installe une charge utile à partir d'une URL. L’injecteur télécharge un fichier APK d'un <url> trouvé dans le manifeste (il change de version en version) dans / sdcard / Download / <nom> puis installe l'APK via la commande pm install, la commande standard pour installer des applications sur Android dispositifs.
    3. Enfin, l’injecteur démarre le service de charge utile. Les entrées <startupX> du manifeste sont utilisées pour démarrer les services de la charge utile. Cette étape est répétée chaque fois que le téléphone démarre.

    Avast a trouvé au moins huit variations de code différentes de l’injecteur avec de nombreuses signatures différentes. Les fonctions de base de toutes les variantes sont les mêmes, avec quelques différences subtiles dans les URL codées en dur et la prise en charge de packages de logiciels malveillants pré-installés supplémentaires. Dans l'ensemble, il s'agit d'un injecteur simple et flexible qui fonctionne bien, tant que les auteurs ont le contrôle du domaine codé en dur, et peuvent garder l'URL opérationnelle

    Nom : play_protect.png
Affichages : 4205
Taille : 22,1 Ko

    Utilisateurs concernés

    Par pays

    Selon les statistiques d’Avast, les utilisateurs dans plus de 90 pays sont touchés. Les dix pays qui ont été les plus touchés au cours du dernier mois sont la Russie, l'Italie, l'Allemagne, le Royaume-Uni, l'Ukraine, le Portugal, le Venezuela, la Grèce, la France et la Roumanie.

    Par dispositifs

    Plusieurs centaines de dispositifs différents sont affectés. Les appareils affectés portent généralement un chipset Mediatek et sont pour la plupart des tablettes à faible coût. Une liste des appareils vulnérables est disponible et comprend des appareils de marques Archos, ZTE, myPhone et Prestigio. Les appareils exécutent différentes versions d'Android allant de 4.2 à 6.0.

    Cependant, Avast assure que ce ne sont pas tous les dispositifs présents sur la liste qui sont affectés « car chaque modèle possède d'innombrables variantes de micrologiciel (par exemple pour différents pays et différents opérateurs) et seules quelques variations d'un périphérique peuvent être affectées, ou peut-être une version ROM personnalisée avait l’injecteur. Cette liste contient simplement des modèles d'appareils sur lesquels nous avons repéré la charge utile au moins une fois dans son chemin <downloads> / Temp, qui est le chemin vers lequel le système télécharge la charge avant de l'installer, et la charge utile a également été installée sur le même périphérique ». .

    Conclusion

    Il ne s'agit malheureusement pas d'un cas isolé. En effet, l’équipe Check Point Mobile Security a découvert en mars un malware ciblant près de 5 millions d’utilisateurs qui était destiné à générer frauduleusement des revenus publicitaires pour le compte des pirates. Selon les chercheurs, le logiciel malveillant se fait passer pour une application Wi-Fi inoffensive. Découvert sur un smartphone Xiaomi Redmi, Rottensys serait introduit sur 5 millions de modèles depuis l’usine de Tian Pai, à Hangzhou, en Chine. Les smartphones des marques Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et GIONEE sont concernés. Et ce n'est qu'un exemple parmi plusieurs de smartphones infectés par un logiciel malveillant dès la sortie d'usine.

    Liste des dispositifs vulnérables

    Source : Avast

    Et vous ?

    Que vous suggère cette découverte ?
    Votre smartphone (ou votre tablette) figure-t-il sur la liste ?

    Voir aussi :

    RPT-CP1 : la nouvelle tablette E-Ink de Sony à 600 dollars, qui intègre le partage de fichiers avec iOS, Android, Windows et Mac
    RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google, jusqu'à la sortie du nouveau SDK de Google
    Sécurité : l'application Android de Facebook requiert les privilèges de super utilisateur, d'après des signalements
    Android : la nouvelle politique de sécurité de Google imposera des mises à jour régulières, les fabricants de téléphones devraient s'y conformer
    Google lance la troisième version bêta de Flutter, son kit de développement d'applications Android et iOS peut désormais être utilisé en production
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    MikeRowSoft
    Invité(e)

    Par défaut

    J'ai bien une tablette Samsung GT-P3100 mais j'ai jamais vue cela s'affiché. (un vieux truc)
    Au final, je pense je suis pas près de changé de téléphone ou que j'éviterais les marques cités quand il s'agit d'OS Android.

  3. #3
    Membre actif
    Profil pro
    Developpeur
    Inscrit en
    juillet 2004
    Messages
    286
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : juillet 2004
    Messages : 286
    Points : 231
    Points
    231

    Par défaut

    Peut être pour ça que la tablette Archos est si lente, au point d'être inutilisable...
    Elle semble être dans la liste.
    Comment on peut virer ce malware ?
    Хајде Јано коло да играмо

  4. #4
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 629
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 629
    Points : 7 435
    Points
    7 435

    Par défaut

    Citation Envoyé par SuperCed Voir le message
    Comment on peut virer ce malware ?
    Vu que c'est de base dans la ROM le seul moyen est de rooter l'équipement et d'y installer soit même une ROM Android pour écraser celle du constructeur/distributeur.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  5. #5
    Membre actif
    Profil pro
    Developpeur
    Inscrit en
    juillet 2004
    Messages
    286
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : juillet 2004
    Messages : 286
    Points : 231
    Points
    231

    Par défaut

    J'ai jamais réussi à le rooter... Malheureusement.

    C'est un Archos 70b platinum. Il n'est pas dans la listing, mais il y a un modèle proche...
    C'est la tablette la plus lente que je connaisse...
    Хајде Јано коло да играмо

  6. #6
    Nouveau membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    mars 2018
    Messages
    14
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 19
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mars 2018
    Messages : 14
    Points : 26
    Points
    26

    Par défaut

    Hé ben.. si dès la sortie d'usine les mobiles sont contaminés..

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    février 2017
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : février 2017
    Messages : 7
    Points : 7
    Points
    7

    Par défaut

    Personnellement j'ai acheté un petit smartphone android à 60e à Darty de la marque I.T. Works et j'ai été surpris par des pop-ups intempestif dans toutes mes applications. Alors je suis aller voirs dans les fichiers APK installé et j'ai remarqué 2 applications que je ne connaissais pas (l'une d'entre elles s’appelait 'Clock' et je ne me rappelle plus de l'autre). Je les ais donc supprimées et depuis je n'ai plus du tout de pop-up.

    Je trouve quand même ça choquant de pouvoir vendre ça dans une grande surface. Qu'est ce que je peux faire ? Le reporter à Darty ou quelque chose comme ça ?

  8. #8
    Membre actif
    Profil pro
    Inscrit en
    avril 2012
    Messages
    157
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2012
    Messages : 157
    Points : 277
    Points
    277

    Par défaut

    Si les chinois nous vendaient des saloperies, on le saurait...Quel beau pays...On l'aura, notre apocalypse digitale...

  9. #9
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2014
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 68
    Localisation : France, Aisne (Picardie)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Santé

    Informations forums :
    Inscription : juillet 2014
    Messages : 91
    Points : 206
    Points
    206

    Par défaut

    Les premiers virus que j'ai rencontrés étaient installés sur des floppy disk 3.5" vendu par des importateurs de matériel chinois à des prix très bas...
    Pourquoi changer les bonnes habitudes ?
    jp

Discussions similaires

  1. Réponses: 3
    Dernier message: 08/06/2017, 18h22
  2. Réponses: 0
    Dernier message: 07/10/2008, 10h27
  3. Réponses: 18
    Dernier message: 17/01/2008, 12h54
  4. Réponses: 2
    Dernier message: 22/05/2007, 20h49
  5. Comment récupérer la liste des logiciels installés sur une machine ?
    Par david_chardonnet dans le forum API, COM et SDKs
    Réponses: 3
    Dernier message: 19/09/2003, 18h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo