Godless, une menace à prendre au sérieux pour les utilisateurs d’Android ?
Cette famille de logiciels malveillants toucherait, selon Trend Micro, jusqu’à 90 % des appareils équipés de l’OS de Google. En l’occurrence, tous ceux qui tournent sous Android 5.1 « Lollipop » ou toute version antérieure.
Dans la pratique, il faut relativiser : Godless se fonde principalement sur deux failles (CVE-2015-3636 et CVE-2014-3153, situées dans le noyau Linux) que Google a corrigées en septembre dernier. Les terminaux mis à jour sont donc en théorie protégés.
À l’image de ces « kits d’exploits » hébergés sur des sites Web malveillants et qui sont capables de repérer les vulnérabilités sur le navigateur d’un internaute donné, Godless s’appuie sur le framework open source android-rooting-tools pour détecter les faiblesses de chaque machine infectée.
Ce qui est particulièrement problématique, c’est que du code malveillant est parvenu à se loger sur plusieurs app stores, dont Google Play. Trend Micro recense plus de 850 000 infections dans le monde, essentiellement en Inde (46,19 %), en Indonésie (10,27 %) et en Thaïlande (9,47 %).
Godless a évolué avec le temps. Les premières applications malveillantes stockaient les « exploits » à tester directement sur les appareils, dans un fichier libgodlikelib.so. Dès le passage en veille, la procédure de root démarrait avec, entre autres, l’installation d’une application système dotée d’un maximum de privilèges… et par là même très difficile à retirer.
Cette application peut se connecter à Google Play et télécharger des applications en arrière-plan, tout en laissant des évaluations positives pour améliorer le référencement d’autres apps malveillantes.
Une version plus récente de Godless va chercher le code malveillant et l’application système sur un serveur de commande et de contrôle (hxxp://market[.]moboplay[.]com/softs[.]ashx ; URL modifiée pour des raisons de sécurité) qui permet d’installer une porte dérobée.
Trend Micro assure que « de nombreuses applications » disponibles sur Google Play – notamment des clones de jeux populaires – sont infectées. L’éditeur n’en cite cependant qu’une : Summer Flashlight, téléchargée plusieurs milliers de fois et qui permet d’exploiter le flash d’un téléphone en tant que lampe de poche.
Crédit photo : siiixth – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…