Android : un malware planétaire

Le 6 décembre 2016| Rédigé par Erwan Brouder| Posté dans Blog

Android : un malware planétaire !
On dit souvent que « les malwares ne respectent pas les frontières physiques des Hommes ». Cet adage est plus que vérifiable pour ce malware, d’impact planétaire, puisqu’il est susceptible de toucher près de 700 millions d’utilisateurs dans 150 pays. Il s’agit tout simplement d’un logiciel pouvant impacter l’environnement Android d’environ 400 constructeurs, vendeurs et opérateurs dans le monde. Les appareils touchés sont de toute sorte : téléphones, tablettes, montres, voitures, télévisions, etc.

Le logiciel, construit par l’entreprise chinoise Adups, est composé de deux applications : « com.adups.fota.sysoper » et « com.adups.fota ». Préinstallées, elles sont légitimes aux yeux des antimalwares ou des antivirus. Officiellement, ce logiciel est destiné à deux grands constructeurs chinois (ZTE et Huawei) pour leur permettre de mettre à jour leurs firmwares. En plus de cette fonctionnalité, le logiciel d’Adup est capable de transmettre des données sur l’usage du smartphone afin de permettre aux vendeurs de fournir aux utilisateurs chinois des services dédiés, adaptés et ainsi d’augmenter l’expérience utilisateur. Cependant, rien ne permet de limiter cette fonctionnalité aux seuls utilisateurs chinois.

Selon l’entreprise Kryptowire qui a découvert ce malware, le logiciel est capable de collecter les données personnelles et privées à l’instar des SMS, contacts, appels, l’IMSI et IMEI. Une fois ces données collectées, elles sont chiffrées avec l’algorithme DES (Data Encryption Standard) et transmises à intervalle régulier (toutes les 24h ou 72h selon les données) au serveur 221.228.214.101 correspondant au site bigdata.adups.com.

Pire encore, ce logiciel ne s’arrête pas là. En effet, les experts de Kryptowire ont découvert pendant leur investigation qu’il était capable de contrôler à distance les smartphones via un serveur de « command & control » nommé rebootv5.adsunflower.com (61.160.47.15).

Analyse de l’application incriminée

Nous avons voulu analyser ce logiciel incriminé. Pour cela, nous avons téléchargé l’application « com.adups.fota » à partir d’une version de GitHub. Voici la liste des permissions demandées par l’application com.adups.fota :

android.permission.INTERNET android.permission.READ_PHONE_STATE android.permission.ACCESS_NETWORK_STATE android.permission.ACCESS_WIFI_STATE android.permission.RECEIVE_BOOT_COMPLETED android.permission.WRITE_EXTERNAL_STORAGE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.GET_TASKS

Grâce à ces différentes permissions, l’application com.adups.fota peut :
1. connaître les listes d’appels, des réseaux wifi/GMS, des numéros, etc.
2. Écrire, modifier et/ou supprimer des fichiers sur la carte SD,
3. monter et remonter le système de fichier.

En conclusion, cette application d’Adup possède des droits élevés lui permettant de voler des données personnelles et de compromettre la sécurité du smartphone.
Moyens de défense contre ces applications

Le meilleur moyen pour se défendre contre ces applications est de les désactiver, puis de les supprimer. Pour éviter des effets de bord, il est vivement conseillé de désactiver une application préinstallée avant de la supprimer. Cependant, étant préinstallé, il est difficile pour un utilisateur lambda d’effectuer ces tâches de suppression ou de désactivation. D’autant plus que la réinitialisation complète du smartphone ne sera d’aucune utilité. Par contre, un utilisateur expérimenté peut les désactiver ou les supprimer avec des commandes adéquates.

Voici les commandes qu’il convient d’effectuer :

  1. pour désactiver :
    $ adb shell pm disable com.adups.fota.sysoper
    $ adb shell pm disable com.adups.fota
  2. pour supprimer :
    $ adb uninstall com.adups.fota.sysoper
    $ adb uninstall com.adups.fota

Sources :

  1. http://www.tomsguide.fr/actualite/porte-derobee-smartphones-android-chine,54189.html
    2. http://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html?_r=1
    3. http://www.kryptowire.com/adups_security_analysis.html
    4.https://github.com/Bnaya/alps-H958-mods/blob/master/systems/cm_custom_alpha/app/AdupsFota.apk
    5. https://developer.android.com/reference/android/Manifest.permission.html

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *