Dans un contexte préoccupant pour la sécurité numérique, des cybercriminels spécialisés dans la distribution de logiciels malveillants sous forme de service, surnommée SecuriDropper, a vu le jour, déployant une méthode astucieuse pour contourner la fonction Paramètres Restreints d’Android. Cette stratégie permet l’installation furtive de logiciels malveillants, compromettant ainsi les services d’accessibilité des appareils.
La fonction Paramètres Restreints, introduite dans Android 13, a été conçue comme un rempart contre l’installation d’applications issues de sources non officielles, c’est-à-dire hors de Google Play, qui pourraient chercher à obtenir un contrôle étendu sur les paramètres d’accessibilité et l’écoute des notifications, deux outils puissants fréquemment exploités par des entités malveillantes.
La tentative d’Android de contrecarrer de tels abus se manifeste par une mesure de sécurité qui intercepte et avertit les utilisateurs lorsque des applications douteuses tentent de s’emparer de ces permissions. Cependant, la lutte contre les cybercriminels s’intensifie, puisque ThreatFabric a révélé en août 2022 que les auteurs de logiciels malveillants ont évolué, adaptant leur stratégie avec une nouvelle variante de logiciel de distribution appelée BugDrop.
Les experts de ThreatFabric ont conçu un dropper de démonstration, prouvant que le contournement de la sécurité des ‘Paramètres Restreints’ est non seulement réalisable mais également activement exploité. La méthode opératoire implique une installation fragmentée via l’API basée sur des sessions, qui se faufile à travers les fissures de la fonction de sécurité en évitant le dialogue qui interdit normalement à l’utilisateur d’accorder des permissions risquées.
Les investigations de BleepingComputer confirment la persistance de cette vulnérabilité dans Android 14, faisant écho aux récentes découvertes de ThreatFabric que SecuriDropper utilise ce même subterfuge. Cette révélation troublante marque une première dans l’arène du cybercrime, où de telles techniques sont utilisées contre les utilisateurs d’Android.
Se déguisant en applications inoffensives—souvent en imitant des entités de confiance comme les applications Google, les mises à jour du système, les lecteurs vidéo, les outils de sécurité ou les jeux—SecuriDropper orchestre l’infiltration de charges utiles secondaires nuisibles. Il réussit cela en obtenant initialement les permissions de lire et d’écrire sur le stockage externe et de gérer les installations de paquets.
La tromperie est une arme clé dans l’arsenal de SecuriDropper, induisant les utilisateurs en erreur pour cliquer sur un bouton “Réinstaller” en générant de fausses notifications d’erreur concernant l’installation de l’application, ouvrant ainsi la voie à la livraison de la charge utile malveillante secondaire.
Les incidents suivis par ThreatFabric incluent la distribution du logiciel malveillant SpyNote, déguisé en application Google Translate, et la circulation de trojans bancaires Ermac sous l’apparence du navigateur Chrome, visant un large éventail d’applications de cryptomonnaie et de e-banking.
Ajoutant à l’inquiétude est la résurgence de Zombinder, une autre campagne DaaS initialement documentée en décembre 2022. Elle lie malignement des applications légitimes à des charges utiles malveillantes, infectant les appareils Android avec des voleurs d’informations et des trojans bancaires. Les matériaux promotionnels récents de Zombinder se vantent ouvertement du même contournement des ‘Paramètres Restreints’, assurant un accès illimité aux paramètres d’accessibilité dès l’installation.
Face à ces tactiques menaçantes, il est impératif pour les utilisateurs d’Android d’exercer une extrême prudence, en s’abstenant de télécharger des fichiers APK provenant de sources douteuses ou d’éditeurs non reconnus.
Les propriétaires d’appareils Android sont incités à examiner et révoquer les permissions des applications avec vigilance en naviguant vers Paramètres → Applications → [sélectionner une application]
Post-Scriptum
Au cœur de cette révélation, une question essentielle émerge : la course entre les mesures de sécurité en constante évolution et l’ingéniosité des cybercriminels semble-t-elle être un combat perpétuel ? La découverte de ‘SecuriDropper’ et de ses semblables met en lumière non seulement la perspicacité des attaquants mais aussi la vulnérabilité inhérente des systèmes qui se veulent pourtant sécurisés.
Alors que les utilisateurs sont guidés vers une prudence accrue et une responsabilisation de leurs actions numériques, une interrogation demeure : sommes-nous, en tant que société numérique, en train de perdre du terrain dans cette lutte contre le cybercrime ? Ce dilemme soulève l’importance cruciale d’une collaboration renforcée entre les développeurs de systèmes d’exploitation, les chercheurs en sécurité et les utilisateurs finaux pour contrer ces menaces qui évoluent avec une agilité déconcertante.