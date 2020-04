Cette histoire a été initialement publiée le 2020/04/17

10h09 PDT le 17 avril 2020 et dernière mise à jour 2020/04/19

8 h 05 PDTA le 19 avril 2020.

Plus tôt cette année, une histoire a fait le tour d’un nouveau type de malware affectant les combinés Android. Mais c’est la nature pernicieuse de ce malware qui a vraiment fait la une des journaux, car il pourrait même survivre à des réinitialisations d’usine complètes sur les téléphones affligés. Ce malware insidieux a été nommé xHelper. À l’époque, nous ne savions pas comment il a géré cette réalisation impressionnante (mais effrayante), mais les chercheurs en sécurité de Kaspersky ont depuis creusé son fonctionnement interne, révélant un système incroyablement sophistiqué qui s’installe sur la partition système d’un téléphone Android, et même modifie le fonctionnement du système pour éviter qu’il ne soit “facilement” supprimé.

Les détails proviennent d’une courtoisie d’un chercheur de Kaspersky (repéré par Ars Technica), qui a découvert que le malware télécharge un rootkit qui affecte principalement les versions Android 6-7 – affectant en quelque sorte les téléphones chinois plus que d’autres. Une fois qu’il a les privilèges root, il installe directement des logiciels malveillants sur la partition système qui est capable de réinfecter le téléphone à tout moment, et il est particulièrement pernicieux et difficile à supprimer.

C’est parce que la partition système ne peut généralement pas être écrite. Pendant le fonctionnement normal du système, il est monté en lecture seule, de sorte qu’un utilisateur ne peut pas simplement désinstaller une application pour se débarrasser de toutes les nombreuses vrilles du malware, il est enfoui profondément à l’intérieur avec les composants dont votre téléphone a besoin pour fonctionner. De plus, les fichiers écrits par le logiciel malveillant reçoivent un attribut immuable supplémentaire, de sorte que même un utilisateur enraciné ne peut pas facilement les supprimer. Mais ce n’est pas le seul truc dans la manche de xHelper, il modifie également une bibliothèque système Android interne (libc) pour désactiver le montage de la partition système en mode écriture, et désinstalle carrément des applications root comme Superuser qui pourraient rendre le processus un peu plus facile .

Vous pouvez supprimer le logiciel malveillant via la récupération – soit en reflasher complètement l’appareil avec des images de stock ou en remplaçant plus fastidieusement les composants du système compromis pour une suppression manuelle – mais même dans ce cas, certaines des images d’usine de ces appareils chinois bon marché sont chargées de logiciels malveillants qui abaisse simplement xHelper à nouveau. La seule véritable façon de gagner dans ce cas est de flasher une ROM plus sécurisée (si elle est même disponible) ou de remplacer le téléphone.

Auparavant, Malwarebytes affirmait que le Play Store servait en quelque sorte d’avenue de réinfection de xHelper, bien que des preuves concrètes concernant ces affirmations n’aient jamais été révélées, et un représentant de Google n’a pas pu confirmer les théories de Malwarebytes lorsque nous leur avons parlé plus tôt cette année.

Les estimations du nombre de téléphones affectés infectés par xHelper variaient auparavant d’environ 45 000 à 33 000, mais encore une fois, seuls les appareils exécutant des versions plus anciennes et moins sécurisées d’Android devraient être sensibles aux exploits de rootkit utilisés. (Si vous utilisez un tel téléphone Android, essayez de passer à quelque chose de plus sécurisé si vous le pouvez, c’est dans votre intérêt.) Il y a de fortes chances que vous ne soyez pas affecté, mais il est toujours fascinant de voir le niveau d’ingéniosité utilisé par logiciels malveillants de nos jours.

Image: Markus Spiske sur Unsplash