Des chercheurs en sécurité ont découvert une masse sans cesse croissante de logiciels malveillants qui a déjà infecté près de 5 millions d’appareils mobiles dans le monde entier.
Surnommé RottenSys, le malware qui se déguise en application ‘System Wi-Fi service’ a été préinstallé sur des millions de nouveaux smartphones fabriqués par Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et GIONEE. Le malware aurait été ajouté quelque part le long de la chaîne d’approvisionnement.
Tous les appareils touchés ont été expédiés par l’intermédiaire de Tian Pai, un distributeur de téléphones portables basé à Hangzhou, mais les chercheurs ne savent pas si l’entreprise participe directement à la campagne d’infection.
Selon Check Point Mobile Security Team, qui a découvert le pot aux roses, RottenSys est un logiciel malveillant avancé qui ne fournit pas de service Wi-Fi mais qui prend presque toutes les permissions Android. Pour échapper à la détection, la fausse application ne démarre pas immédiatement ses activités malveillantes et communique seulement avec ses serveurs pour télécharger d’autres composants contenant du code malveillant. Elle utilise la fonction « DOWNLOAD_WITHOUT_NOTIFICATION » qui ne nécessite aucune interaction de l’utilisateur.
« Selon nos conclusions, le malware RottenSys a commencé à se propager en septembre 2016. Au 12 mars 2018, 4 964 460 dispositifs avaient été infectés par RottenSys « , ont déclaré les chercheurs.
En ce moment, le malware installe un composant adware à tous les appareils infectés qui affiche agressivement des publicités sur l’écran d’accueil de l’appareil, comme des fenêtres pop-up ou des publicités plein écran pour générer des revenus publicitaires frauduleux.
« RottenSys est un réseau publicitaire extrêmement agressif. Rien qu’au cours des 10 derniers jours, il a diffusé 13 250 756 annonces , et 548 822 d’entre elles ont été traduites en clics publicitaires « , ont déclaré les chercheurs. Ce qui aurait rapporté plus de 115000$.
Les pirates sont en train de préparer quelque chose de beaucoup plus dommageable que de simplement afficher des publicités non invitées.
Puisque RottenSys a été conçu pour télécharger et installer de nouveaux composants à partir de son serveur C&C, les attaquants peuvent facilement armer ou prendre le contrôle total de millions de dispositifs infectés.
L’enquête a également révélé que les pirates ont déjà commencé à transformer des millions de ces dispositifs infectés en un réseau de botnet massif qui pourraient prendre rapidement le contrôle complet de ces appareils.
Ce n’est pas la première fois que les chercheurs de CheckPoint ont trouvé des marques de premier ordre affectées par une attaque dans la chaîne d’approvisionnement :
L’année dernière, la société a trouvé des smartphones appartenant à Samsung, LG, Xiaomi, Asus, Nexus, Oppo et Lenovo, infectés par deux logiciels malveillants préinstallés (Loki Trojan et SLocker Mobile Ransomware) conçus pour espionner les utilisateurs.
Comment détecter et supprimer ces malware ?
Pour vérifier si votre appareil est infecté par ce malware, allez sur le système Android dans paramètres→ Applications →plus → montrer les processus système et recherchez les noms de paquet suivants :
com.android.yellowcalendarz (每日黄历)
com.changmi.launcher (畅米桌面)
com.android.services.securewifi (系统WIFI服务)
com.system.service.zdsgt
Si l’une des options ci-dessus se trouve dans la liste de vos applications installées, il suffit de la désinstaller.
