Les attaques exploitant des vulnérabilités dans les navigateurs ou leurs plug-ins pour installer des logiciels malveillants sont très répandues sur les ordinateurs tournant sous Windows, mais beaucoup moins sur le système mobile Android, mieux protégé en terme de sécurité. Mais les chercheurs de Blue Coat Systems ont récemment détecté une nouvelle attaque dite Drive-by Download sous Android, quand un de leurs appareils de tests - une tablette Samsung sous système d’exploitation CyanogenMod 10.1 basé sur Android 4.2.2 - a été infecté par un ransomware après avoir visité une page web affichant une publicité malveillante. « À ma connaissance, c’est la première fois qu’un kit d’exploit a pu installer avec succès des applications malveillantes sur un appareil mobile, sans requérir l’intervention de l’utilisateur », a déclaré hier dans un blog Andrew Brandt, directeur de la recherche, spécialisé dans les menaces, chez Blue Coat. « Au moment de l'attaque, le dispositif n'a pas affiché la boîte de dialogue habituelle d’Android où l’application demande l’autorisation de l’utilisateur avant d’installer une application ».

Une analyse plus poussée, menée avec des chercheurs de Zimperium, a révélé qu’un code JavaScript ajouté à la publicité exploitait une vulnérabilité connue dans la bibliothèque libxslt. Cette exploitation a été divulguée l’an dernier après la fuite de documents volés à l’éditeur de logiciels de surveillance Hacking Team. En cas de succès, le kit d'exploit installe un exécutable ELF, dénommé module.so, sur le terminal qui à son tour exploite une autre vulnérabilité pour obtenir un accès root - privilège le plus élevé sur le système. L’exploit root utilisé par module.so est connu sous le nom de Towelroot, publié en 2014. Après avoir compromis le dispositif, Towelroot télécharge et installe sans se faire repérer un fichier APK (Application Android Package). Mais en réalité, ce package est un ransomware du nom de Dogspectus ou Cyber.Police.

Les fichiers ne sont pas chiffrés, mais l'appareil est bloqué

À la différence d’autres ransomwares, l’application ne chiffre pas les fichiers de l’utilisateur. Mais elle affiche une fausse alerte émanant soi-disant d’une autorité judiciaire. L’alerte prétend qu’une activité illégale a été détectée sur l'appareil, et demande au propriétaire de payer une amende. En plus, l’application bloque toute action sur l’appareil de la victime jusqu'à ce qu’elle s’acquitte de l’amende ou lance une réinitialisation d'usine de son mobile. Cette dernière solution efface tous les fichiers de l'appareil, il est donc préférable de connecter l'appareil à un ordinateur et de faire une sauvegarde avant toute chose. « Cette banalisation des exploits Hacking Team et Towelroot pour installer des logiciels malveillants sur les appareils mobiles Android en utilisant un kit d’exploit automatisé a des conséquences graves », estime Andrew Brandt. « Cela veut dire notamment que les anciens appareils, qui ne sont pas mises à jour (ou ne sont pas susceptibles d'être mis à jour) avec la dernière version d'Android, seront exposés à ce type d'attaque à perpétuité ». 

Les exploits comme Towelroot ne sont pas implicitement malveillants. Certains utilisateurs s’en servent couramment pour accéder aux fonctions root de leurs appareils afin de supprimer des restrictions de sécurité et débloquer des fonctionnalités qui ne sont pas normalement disponibles. Néanmoins, étant donné que les créateurs de malwares peuvent utiliser ces exploits à des fins malveillantes, Google considère ces apps comme potentiellement dangereuses et bloque leur installation avec la fonction Verify Apps d’Android. Les utilisateurs ont tout intérêt à activer cette fonction dans Paramètres> Google> Sécurité> Analyser les menaces de sécurité. Par ailleurs, il est toujours recommandé de mettre à niveau son dispositif avec la dernière version d’Android pour bénéficier des derniers correctifs et autres améliorations de sécurité. Lorsqu'un terminal n’est plus supporté et ne reçoit plus de mises à jour, les utilisateurs doivent limiter leur navigation Web. Sur les appareils plus anciens, il est aussi recommandé d’utiliser un navigateur comme Chrome à la place du navigateur par défaut d’Android.