Titre: Check Point découvre un maliciel dans 206 applis proposées sur le Google Play Store (13/03/2019 Par zion)
Zaventem, 13 mars 2019 - Les chercheurs de Check Point Software Technologies Ltd. (NASDAQ: CHKP), fournisseur mondial réputé de solution de cyber-sécurité, ont détecté une nouvelle campagne de maliciels touchant le Google Play Store. Le maliciel a été déniché dans pas moins de 206 applications et a été téléchargé près de 150 millions de fois. La campagne a été baptisée Simbad en raison du fait que les applis les plus infectées sont des jeux de simulation.

Que fait Simbad?
Simbad peut déclencher trois actions différentes: afficher des publicités indésirables, procéder par hameçonnage et établir des liens vers d’autres applis. Simbad agit en priorité comme publiciel (“adware”), en affichant d’innombrables publicités en dehors de l’appli, ce qui expose la victime à d’autres applis (infectées). En obtenant la possibilité d’activer une URL déterminée dans un navigateur, l’“auteur” qui est à l’origine de Simbad peut générer plusieurs pages d’hameçonnage et les ouvrir dans le navigateur de la victime. Enfin, Simbad peut même ouvrir des applis, telles que Google Play et 9Apps, ce qui permet au pirate d’exposer encore davantage la victime à d’autres menaces.

Comment opère Simbad?
Toutes les applis infectées exploitent le SDK (Software Development Kit) malveillant “RXDrioder” pour passer en mode actif. Une fois installées, le maliciel établit une connexion avec le serveur Command and Control concerné et reçoit une mission à effectuer. Simbad peut procéder à de très nombreuses actions sur l’appareil de l’utilisateur, par exemple supprimer le pictogramme du programme d’initialisation, ce qui compliquera la tâche de l’utilisateur s’il veut annuler l’installation.

Le danger au coeur des modes de développement? Les “Supply Chain Attacks”
Simbad est un bel exemple du danger qui se cache dans les nouvelles méthodes de développement d’applis. Ces dernières sont désormais construites à l’aide d’une chaîne complexe de bibliothèques externes ou de composants en source libre. Les ingénieurs logiciel et les équipes DevOps ont recours à ces codes “prêts à l’emploi”, les utilisant comme des briques pour bâtir leurs futures applications.

Toutefois, utiliser les codes de tiers a un inconvénient: les “Supply Chain Attacks” - ou attaques via la chaîne logistique du logiciel. Dans le cadre de ce genre d’attaques, les hackers utilisent des codes tiers fiables pour acheminer les maliciels vers des clients crédules, en les insérant dans ces codes. De nombreux ingénieurs, dans tous les secteurs, logiciel ont adopté cette démarche qui constitue véritablement le maillon faible de la cyber-sécurité des entreprises.

Les sociétés partent en effet du principe que ces codes de tiers sont intrinsèquement sécurisés. Ce n’est malheureusement pas toujours le cas. Les attaquants savent par ailleurs pertinemment bien que les équipes DevOps doivent opérer vite afin de favoriser la flexibilité de leurs employeurs et développent dès lors souvent des applications sans effectuer les contrôles de sécurité nécessaires.

Se protéger contre Simbad et les attaques de la “chaîne logistique”
Il n’est pas évident, en tant que société, de se protéger contre de telles attaques. Les entreprises doivent savoir avec précision quels sont les produits commerciaux et open source qu’elles utilisent.

Une démarche de type “la cyber-hygiène d’abord” est un autre élément important. Elle permet à une entreprise d’avoir une vision complète de l’environnement informatique et de tenter d’éviter d’éventuels “angles morts”. A mesure que le nombre d’applications qui s’ajoutent à un écosystème informatique augmente, les équipes de sécurité éprouvent souvent de plus en plus de difficultés à savoir qui installe de telles applications et où. Des outils tels que le SandBlast Mobile de Check Point peuvent s’avérer très utiles à cet égard.

Un vecteur SDK déjà souvent utilisé
Check Point Research a récemment découvert une série d’applis Android au sein desquelles un maliciel s’était dissimulé dans un Software Development Kit (SDK) afin de générer des paiements (SWAnalytics). Le maliciel était contenu dans des applis qui étaient distribuées par le biais de grandes boutiques d’applis chinoises. Douze applications infectées ont été découvertes à ce jour; au total, elles ont déjà été téléchargées 111 millions de fois.

Google a d’ores et déjà été averti et les applications infectées ont été retirées du Google Play Store.
Retour