C’est en effet ce qu’a dévoilé aujourd’hui la firme de sécurité Check Point, qui a observé les activités du maliciel depuis les 5 derniers mois.
Il est important de souligner que le Play Store de Google n’est pas en cause ici.
Se propageant par le téléchargement d’applications d’apparences inoffensives et par le chargement de publicités malveillantes distribué par des sites de contenus pornographiques, HummingBad tente d’abord de gagner l’accès à la racine de l’appareil ciblé afin d’installer un rootkit lui permettant d’exploiter plusieurs vulnérabilités. Lorsque la tentative est un succès, l’attaquant obtient alors le plein contrôle sur l’appareil. Si la tentative échoue, le maliciel exploitera un faux système de notifications visant à tromper l’utilisateur afin qu’il accorde à HummingBad l’accès administrateur du système, à son insu.
Il est important de souligner que la première méthode de propagation n’est pas liée au Play Store de Google; l’utilisateur doit avoir changé les paramètres d’Android afin de permettre l’installation d’applications provenant de sources externes (repositories), puis avoir téléchargé une application malveillante depuis l’une des sources contrôlées par l’attaquant.
En fait, on devrait plutôt dire les attaquants. Car, toujours selon Check Point, l’entité conceptrice d’HummingBad est en réalité une entreprise chinoise légitime – Yingmob, composée de 25 employés – opérant sa propre régie publicitaire. En exploitant la flotte d’appareils sous son contrôle, celle-ci y affiche 20 millions de publicités au quotidien qui génèrent ainsi des recettes estimées à 300 000$ US par mois.
Si l’objectif de ce stratagème semble pour le moment uniquement pécuniaire, il est important de rappeler que les données de tout appareil infecté par un maliciel sont susceptibles d’être exploitées par des pirates. L’accès administrateur du système accorde à l’attaquant essentiellement le plein pouvoir sur votre téléphone ou tablette. Libre à lui de choisir de verrouiller vos données en échange d’une rançon, de vendre le contrôle de votre système sur le marché noir, ou d’exploiter votre appareil comme botnet en se servant de votre connexion comme relais pour perpétrer d’autres attaques.
Cela dit, mentionnons que la majorité des appareils infectés sont situés en Chine et en Inde. Check Point estime qu’au moins 286 800 victimes sont localisées aux États-Unis, mais ni le Canada, ni la France, ni même le Royaume-Uni ne se retrouvent sur le palmarès des 20 marchés les plus infectés. La Malaisie ferme la marche au 20e rang avec 113 096 victimes.
Au moment d’écrire ces lignes, il n’existe aucune information sur la méthode permettant de supprimer efficacement HummingBad. Comme toujours, la meilleure façon de protéger son appareil Android est de n’autoriser que le téléchargement des applications provenant du Play Store, ou de bien se renseigner avant de magasiner des logiciels sur un repository étranger.
