Godless, une menace à prendre au sérieux pour les utilisateurs d’Android ?
Cette famille de logiciels malveillants toucherait, selon Trend Micro, jusqu’à 90 % des appareils équipés de l’OS de Google. En l’occurrence, tous ceux qui tournent sous Android 5.1 « Lollipop » ou toute version antérieure.
Dans la pratique, il faut relativiser : Godless se fonde principalement sur deux failles (CVE-2015-3636 et CVE-2014-3153, situées dans le noyau Linux) que Google a corrigées en septembre dernier. Les terminaux mis à jour sont donc en théorie protégés.
À l’image de ces « kits d’exploits » hébergés sur des sites Web malveillants et qui sont capables de repérer les vulnérabilités sur le navigateur d’un internaute donné, Godless s’appuie sur le framework open source android-rooting-tools pour détecter les faiblesses de chaque machine infectée.
Ce qui est particulièrement problématique, c’est que du code malveillant est parvenu à se loger sur plusieurs app stores, dont Google Play. Trend Micro recense plus de 850 000 infections dans le monde, essentiellement en Inde (46,19 %), en Indonésie (10,27 %) et en Thaïlande (9,47 %).
Godless a évolué avec le temps. Les premières applications malveillantes stockaient les « exploits » à tester directement sur les appareils, dans un fichier libgodlikelib.so. Dès le passage en veille, la procédure de root démarrait avec, entre autres, l’installation d’une application système dotée d’un maximum de privilèges… et par là même très difficile à retirer.
Cette application peut se connecter à Google Play et télécharger des applications en arrière-plan, tout en laissant des évaluations positives pour améliorer le référencement d’autres apps malveillantes.
Une version plus récente de Godless va chercher le code malveillant et l’application système sur un serveur de commande et de contrôle (hxxp://market[.]moboplay[.]com/softs[.]ashx ; URL modifiée pour des raisons de sécurité) qui permet d’installer une porte dérobée.
Trend Micro assure que « de nombreuses applications » disponibles sur Google Play – notamment des clones de jeux populaires – sont infectées. L’éditeur n’en cite cependant qu’une : Summer Flashlight, téléchargée plusieurs milliers de fois et qui permet d’exploiter le flash d’un téléphone en tant que lampe de poche.
Crédit photo : siiixth – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
