Le groupe d’experts en cybersécurité Trend Micro vient de publier un nouveau rapport d’analyse dans lequel il annonce qu’un malware aurait pré-infecté 8,9 millions d’appareils Android à travers 180 pays.
L’infection touche évidemment les smartphones, mais également les tablettes, les télévisions connectées, les décodeurs, et même les montres connectées pour enfants. Capable d’intercepter des SMS à usage unique, les mots de passe, les données bancaires et toutes sortes d’informations sensibles, ce malware est particulièrement dangereux.
Son nom : « Guerrilla », c’est un virus visiblement créé par le groupe Lemon, un groupe de cybercriminels. Très dangereux, ce malware peut en effet passer outre les mises à jour de sécurité, puisqu’il n’affecte pas directement les applications, mais la ROM. Ainsi, les pirates s’attaquent au logiciel dont le rôle est de charger le système d’exploitation de gérer l’utilisation du matériel. 50 ROM différentes ont été infectées, ce qui est tout simplement énorme. Une telle infection révèle une grande connaissance des outils spécialisés dans le domaine du piratage et renforce le danger représenté par « Guerrilla ».
« L’infection transforme ces appareils en proxys mobiles, en outils de vol et de vente de SMS, en faux comptes de réseaux sociaux et comptes de messageries en ligne, et est monétisée par de fausses publicités type fraude au clic », peut-on lire.
Une infection qui intervient avant la mise en service
D’après Trend Micro, les pirates du groupe Lemon (aussi nommé Durian Cloud SMS), installés en Chine, peuvent avoir utilisé des tiers pour atteindre les appareils. Ils ont donc pu attaquer la chaîne d’approvisionnement, ciblant les entreprises software qui travaillent aux côtés des constructeurs, ou recrutant parmi les constructeurs et les distributeurs. Avec des plugins consacrés aux SMS, à la création d’un proxy, au détournement des réseaux sociaux, à l’affichage de publicités intrusives ainsi qu’à l’installation ou à la désinstallation d’applications, « Guerrilla » semble avoir des usages variés.
D’après les analyses, le malware est en mesure de soutenir des activités telles que la vente de comptes ou la génération de pièges publicitaires, et de permettre à des pirates tiers d’obtenir des mots de passe à usage unique pour s’introduire dans divers services vérifiés par téléphone. La majorité des téléphones infectés seraient situés en Asie du Sud-Est, mais le monde entier a l’air touché, au regard des données récoltées par télémétrie.
Trend Micro précise que le nombre d’appareils touchés pourrait être encore plus élevé, mais ces derniers n’ayant pas encore été achetés, ils n’ont pas communiqué avec les serveurs de commande. Malgré tout, 490 000 numéros de téléphone ont déjà envoyé des demandes de mots de passe uniques pour diverses applications telles que Tinder, Facebook, QQ ou WhatsApp. Notons toutefois que Trend Micro n’a pas dévoilé la manière dont les numéros de téléphone infectés ont été obtenus.
Autre précision : il est dit qu’une partie de l’infrastructure du malware recoupe celle du cheval de Troie Triada, apparu en 2016 et détecté dans 42 modèles de smartphones chinois.
Sources : Bleeping Computer, The Hacker News, repris par Clubic.com