Posté le décembre 3, 2019 à 9:05

LES LOGICIELS MALVEILLANTS ANDROID INTÈGRENT DES POP-UPS D’AUTORISATION SUR LE SYSTÈME D’EXPLOITATION

Promon, une société de sécurité, a récemment découvert une vulnérabilité Android qui permet aux hackers d’exploiter les permissions sur les fenêtres pop-up.

Selon l’entreprise de sécurité, l’attaquant peut demander toute autorisation, telle que GPS, microphone, photos ou SMS. La faille a été découverte dans le système d’exploitation, ce qui peut inciter les utilisateurs à donner des informations sensibles à partir de leurs appareils Android. L’utilisateur peut rester vulnérable, car le logiciel malveillant peut infiltrer des données très sensibles sur son téléphone.

La tromperie dans les fonctionnalités pop-up

Normalement, les fenêtres pop-up d’autorisation fonctionnent comme une fonction de sécurité pour protéger les utilisateurs contre un accès non autorisé à leurs informations sensibles. Si une application nécessite l’accès à des informations sur votre téléphone, les fenêtres pop-up d’autorisation vous préviennent pour approbation. L’outil pratique est une bonne fonction de sécurité qui peut empêcher l’accès automatisé à vos données sensibles à partir de sources malveillantes.

Cependant, le pop-up est ironiquement défectueux. Certains pop-ups font maintenant l’inverse à cause de la superposition de piratage. Les hackers utilisent désormais un logiciel malveillant Android pour remplacer l’autorisation d’origine et les remplacer par de fausses fenêtres d’autorisations. L’utilisateur obtiendra la même demande d’autorisation, mais la fenêtre pop-up fera la même chose lorsque l’autorisation sera donnée.

Les utilisateurs sont trompés, ils laissent un site légitime obtenir l’accès à leurs informations sensibles. Mais dans le vrai sens du terme, le logiciel malveillant prépare un arsenal d’attaques sur des données et informations importantes au sein du périphérique Android de l’utilisateur.

Promon a déclaré que l’attaque aurait l’air très authentique pour éviter toute suspicion de la part de l’utilisateur. La plupart du temps, l’attaque demande des autorisations similaires à celles d’autres véritables applications ciblées. Cela rend difficile la distinction entre une application réelle et une application malveillante.

De plus, l’application peut prendre en charge la fenêtre pop-up d’autorisation d’une application Android. En d’autres termes, ce sera l’application Android réelle, mais les actions prises au téléphone sont uniquement par l’application malveillante. De plus, l’application peut superposer des fenêtres de connexion similaires sur une application bancaire ou une application de médias sociaux pour tromper les utilisateurs de leur donner leurs mots de passe.

L’origine de la vulnérabilité

La vulnérabilité de l’application de pop-up d’autorisation est due à Task Affinity, un système multitâche sous Android. C’est une situation où une application malveillante peut dominer les activités d’une autre application et prendre la place d’une telle application sur l’OS. Le mode de fonctionnement de la fausse application rend la détection et la gestion plus difficiles.

Il redéfinit complètement l’application d’origine, alors que l’utilisateur pense toujours qu’il reçoit des demandes d’autorisation de l’application d’origine. Une fois que l’utilisateur a donné son autorisation, le logiciel malveillant entre dans les systèmes et les applications de l’Android pour avoir accès aux informations sensibles de l’utilisateur.

Promon a découvert cette vulnérabilité après que plusieurs clients de banques de la République Tchèque se sont plaints que leur argent avait mystérieusement disparu de leur compte bancaire. Un représentant de l’entreprise a donné à Promon un échantillon du logiciel malveillant qui a tiré avantage d’une telle faille.

Pour exécuter l’attaque, les pirates utilisent les applications «hostile downloader» et «Dropper» sur Google Play Store. Au début, les applications malveillantes peuvent sembler inoffensives. Mais il commence à faire des ravages en téléchargeant secrètement des logiciels malveillants basés sur Strandhogg dans l’appareil Android de l’utilisateur.

Google apporte des solutions à la vulnérabilité

Google a déjà réagi à cette vulnérabilité en indiquant qu’il avait supprimé l’application malveillant dans son PlayStore. Le géant de l’Internet a également mis à jour son logiciel pour Google Play Protect et Android pour empêcher les applications de lancer l’attaque Strandhogg.

En outre, Google a déclaré que la société enquête sur les vulnérabilités et d’améliorer les caractéristiques de sécurité globale de l’application Google. Google a réitéré sa volonté de protéger les utilisateurs de telles exploitations. L’entreprise est toujours en train d’entreprendre une enquête pour régler le problème de façon permanente.

Toutefois, Promon a déclaré que le système d’exploitation est toujours vulnérable parce que Google ne l’a pas encore patché contre une attaque Strandhogg. Lookout a déclaré que les entreprises impliquées n’avaient pas précisé les applications qui étaient impliquées ou piratées. Donc, on ne sait toujours pas jusqu’où se sont répandues les infections.