Kaspersky a publié ce jeudi un rapport au sujet d’un nouveau Trojan découvert sur Android. Celui-ci a été baptisé Dvmap et n’agit comme aucun autre malware.
Discret sur le Play Store
Dvmap, comme la majorité des logiciels malveillants, se cache dans des applications tout à fait normales. Là où son développeur la joue particulièrement finement, c’est que pour contourner les sécurités de la boutique d’applications, il a tout d’abord publié une application saine à la fin du mois de mars. À plusieurs reprises, il l’a ensuite mise à jour afin de mettre en ligne la version malveillante de l’application avant de rapidement remettre en ligne la version clean.
Entre le 18 avril et le 15 mai, ce petit manège aurait été effectué au moins 5 fois, toujours en l’espace d’une journée afin de ne pas laisser le temps à Google de repérer le malware. Les personnes obtenant l’application durant ce laps de temps (ou la mettant à jour) ont cependant été contaminées.
Le RunTime touché
Le premier but de Dvmap est d’obtenir les droits root sur l’appareil infecté. Une étape récurrente pour les malwares. Celui-ci se démarque cependant en utilisant diverses techniques très ingénieuses, et notamment en s’attaquant aux librairies du système dédiées à la machine virtuelle (Dalvik ou ART) après avoir vérifié la version du système.
Une fois les droits root obtenus, le Trojan coupe VerifyApps pour éviter d’être détecté par les sécurités mises en place par Google, installe différents outils au sein du système, ainsi que l’application com.qualcmm.timeservices permettant de télécharger et d’exécuter du code. Précisons que celle-ci peut obtenir les droits root sans aucune interaction avec l’utilisateur, ce qui est aussi inhabituel que dangereux.
La catastrophe évitée ?
Durant la période d’observation de Kaspersky, l’application en question s’est connectée à un serveur, mais n’a jamais reçu de commandes, et on ne sait donc pas exactement quel est son but final. Kaspersky en conclut donc que ce malware est encore en phase de test et que son propriétaire n’a pas encore eu le temps de déployer une attaque de masse.
Google a bien évidemment été mis au courant de l’existence de ce logiciel malveillant qui a d’ores et déjà été retiré du Play Store.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Désolé du retard de réponse. Malheureusement c'est extrêmement complexe, si l'application est compilée avec AoT et LLVM et si le code est obfusqué, je n'ose même pas imaginer la puissance de calcul pour analyser tout le code et en trouver une petite potentiellement malveillante
Euh, il me semble qu'il est possible de dérooter temporairement, mais je possède la version Pro (donc payante) et donc, je ne sais pas si c'est lié ou pas... Après, je ne joue pas aux jeux, donc ça m'épargne bien des soucis avec toutes ces apps vérolées... ;)
Disons que si Google implémentait son propre root, ça pousserait moins les gens à chercher des solutions d’origine plus ou moins douteuses et sans que l'on connaisse les effets secondaires, en particuliers celles qui exigent un accès internet... ^^ Pour ce qui est de Linux et Ubuntu en particuliers, ça a été résolu il y a quelques temps, mais je ne me rappelle plus combien de temps.
Malware ou Trojan ou autre ? Faut savoir frandroid !
Oui et tu peux pas déroot temporairement ^^ jouer a mario par exemple aussi je crois.
Oui celle la a été corrigée depuis tout le monde la su en 2016 cette faille du noyau linux. Bon comme dhab pour les phones mis a jour. Mais du coup exploitable de 2007 a 2016 quoi pour ceux qui la connaissaient. Et des failles y'en aura toujours donc bon voila comme tu le dis. Implémenter le root avec su ou sudo ne changera rien au problème de failles si elles ne sont pas connues. Cette failles touchait aussi linux du coup.
L'article remonte tout de même à octobre 2016 et même si l'auteur de l'exploit n'a pas voulu révéler son contenu, j'imagine que cela a du mettre la puce à l'oreille de Google et qu'il a fait le nécessaire... De toute façon, toute faille repose obligatoirement sur un exploit, ou inversement, donc c'est pas près de s'arrêter. J'espère simplement qu'un jour Google acceptera d'implémenter son propre système de root (comme sous Linux), ce qui devrait théoriquement limiter la tentation de rechercher les failles !
Bah, c'est le même problème quelque soit les OS et aucun n'est épargné, et certainement pas iOS du fait du Jailbreak. ^^ Pour Nougat, c'est juste un peu plus compliqué, mais pas impossible puisque sauf erreur de ma part, c'est même déjà fait... La seule difficulté actuellement c'est avec Xposed framework...
Ouai ils root bien via des exploits a priori. Exemple pour le bug qui etait dans le noyau linux depuis 2007 et qui touche(ait) aussi android => https://arstechnica.com/security/2016/10/android-phones-rooted-by-most-serious-linux-escalation-bug-ever/
Ah oui effectivement c'est moi qui ait lu trop vite. Il a les accès root via un exploit. On a pas plus d'infos la dessus (ca se vend les exploits) Qui dit exploit dit non nécessaire de reboot normalement. Et jme rappelle que pour android 4.2 y'avais une appli apk que tu installait. Tu cliquais sur un bouton pour root ou déroot et t'avais pas besoin de reboot d'après mes souvenirs. Pour super su faut effectivement reboot. L'accès root il m'a quand même l'air de s'obtenir ultra facilement via des failles sur android. Sur nougat par contre ca avait l'air plus compliqué de root je crois. Ptetre que c'est plus sécure a partir de cette version ca j'en sais rien.
Oui, oui, j'ai bien lu moeux... ;) Mais tu confonds la cause des conséquences... Afin de pouvoir remplacer les librairies .so, il faut effectivement avoir AU PRÉALABLE des droits root ! Et pour ce qui est d'installer le root, et suivant la méthodes que tu utilises tu ne feras pas attention au reboot obligatoire, si en plus tu passes par le recovery... ^^ Par contre, si tu utilises KangoRoot ou si tu fais une mise à jour du SuperSu, il te demandera de rebooter pour que ce soit effectif. Enfin, à chaque fois qu'une appli a besoin des droits roots, il en fait la demande que tu dois confirmer explicitement (au moins une fois). Le root des produits Android n'a rien à voir avec celui des Linux surtout que sous Linux, tu dois saisir ton mdp à chaque fois que tu en as besoin, contrairement à Android...
On sait bien.
On remarquera la clarification de la rédaction FrAndroid dans les commentaires, et on soulignera la rapide modification de l'article en conséquence... Ou pas.
Sauf que les exploit files ne peuvent pas passer le tel en root, sauf si l'utilisateur a déverrouillé le bootloader (et est donc déjà passé root user).
Bah si relis moeux. A priori en remplacant / installant des librairies android ils disent. Des .so, y'a pas des masses de précisions en plus mais y'en a bien ;) Jsuis pas sur qu'il y avait besoin d'un reboot avec les applis en un clic pour root, et jvois pas pourquoi ca serait nécessaire. C'est de l'escalade de privilèges sur le téléphone. Y'a jamais eu besoin de restart un serveur linux pour avoir un accès root via des failles par exemple.
Quelque uns mais pas tant que ça. ;) C'est comme les recovery, ou les applis permettant de sauvegarder totalement le système, au fil du temps ils ont fini par disparaitre du Play Store, ou presque...
Désolé, aucun des articles que tu cites ne donnent plus d'indication puisqu'ils ne précisent pas comment le malware obtient les droits root, mais ils décrivent simplement les conséquences !!! Est-ce qu'il l'obtient sur une machine déjà rootée ou est-ce qu'il arrive lui- même à rooter la machine ??? Ce qui serait un très gros exploit, dans tous les sens du terme, sans que l'utilisateur ne s'en rende compte ??? ^^ Parce que normalement, il faut un reboot de la machine pour que le root puisse fonctionner.
Ça aurait été sympa d'indiquer le nom de l'application infectée, histoire que l'on puisse vérifier qu'on ne l'a pas installée récemment (Dvmap est le nom du malware)… Pour ceux qui seraient intéressés, il s'agit de "colourblock" (package : com.colourblock.flood), présentée comme un jeu de puzzle.
Oui bon après faut pas chercher les détails ici aussi. ^^ A priori il choppe l'accès root en installant/remplacant des librairies (.so) d'android. => https://www.droidmen.com/dvmap-malware-root-access-inject-code-google-play-store/ => https://www.generation-nt.com/dvmap-malware-root-android-google-play-actualite-1943274.html
Ah oui oui je suis entièrement d'accord. C'est quand même étrange de ne pas contrôler avant...
Qui ça ? l'User ou Google ? Car dans Android, c'est au risque et périle de l'user s'il fait ça.
Eu... 2 ans ? Ils y en avaient déjà pas mal. :D
Oui. Mais il se sert du store en postant des maj vereuse et la retire avant que Google ne l'a détecte. Du coup, si Google regardez les Applications AVANT publication, je pense que ce genre de problème n'existerait pas. Après, je crois que Google dispose de bots qui vérifie quand même.
Hésite pas à partager l'info si / quand tu l'auras, ça m'intéresse pas mal ?
Non tu confonds les étapes je pense! Tu déverrouilles le bootloader ( et c'est pas sur tous les tel) mais le recovery custom ne s'installe accessoirement qu'après avoir rooter son tel donc il n'y a pas tant d'étapes que ça pour permettre les droits su
Etant donné qu'il s'agit d'un "exploit" cela laisse supposer qu'il pourrait s'octroyer lui-même les droits root sans même que l'utilisateur lui-même les ait. Des exploits similaires existent sur windows, notamment grâce à des fichiers pdf ;)
C'est surtout que Google est trop permissif concernant les applis du PlayStore et ne les contrôle pas suffisamment .. ce n'est pas normal de chopper des merdes en téléchargeant des applis sur un store officiel !!
Google a prévu ce cas de figure dans son os puisqu'en cochant la case "autoriser l'installation depuis une source inconnu" on peut le faire ... donc implicitement il donne l'autorisation !!
C'est ce que je dis à ma femme ? --->
Korben vaincra ?
Je croyais qu'il était unicellulaire. Qui sait ? C'est peut être un alien déguisé en malware
Microsoft vaincra
C klér
Comment Kaspersky a fait pour découvrir que l'application est vérolée?
Parce que Google accepte toutes les contributions de toutes personnes compétentes et les rémunèrent en fonction de la trouvaille avec son programme de récompenses !
C'est pas certain d'autant que l'article n'est clairement pas clair sur le sujet... XD
Bah... Non, car c'est une question plus avancé et une curioisté de ma part. Frandroid n'est pas tenu de m'expliqué en détail comment il obtient les droits root. Il a juste à me dire qu'il peut les obtenir. Cela est suffisant. ils peuvent donner les détails s'il veulent. Mais Frandroid reste avant tout un site généraliste. Pas spécialisé en sécu.
Oui mais en gros l'appli tu clic sur un bouton et ca te root (via une faille ou je ne sais quoi) Donc c'est pas bien difficile a un malware d'automatiser ca.
Ca va rentrer promis ^^
En fait, on parle du fait si l'application passe le téléphone en root ou si seulement les exploit file avaient ces droits. Je répond juste que c'est que les exploit files et non pas l'utilisateur qui passe en root..
Sûrement il y a plusieurs années quand il n'y avait pas encore trop d'applis dans le Play Store ??? ;)
En effet.
Ca, je sais. On trouvait bien des gestionnaires de droit root sur le play.
Il existe aussi une version de KingoRoot sous forme d'exe.
Pour KingoRoot, il en existe deux versions : une sous forme d'APK et une autre sous forme d'exe et que tu lances depuis une machine sous Windows et donc avec le smartphone ou la tablette reliée au cul du PC en mode débogage. Cela implique également qu'il ait un accès à internet !!!
Parce que tu crois que ce genre d'outils passe par le Play Store ??? MDR Il y a des tas de sites, y compris XDA qui fournissent les outils pour rooter quasiment n'importe quel smartphone (à la condition d'avoir le bootloader déverrouillé...
Oui, c'est exactement cela : ça exploite bien une faille du système, comme c'est le cas pour le jailbreak sous iOS...
Si, si quand tu rootes tu exploites obligatoirement une faille !!!
Toutes les outils pour rooter ne passent pas obligatoirement par le recovery puisqu'il existe des versions en apk, et même en .exe en passant par un Windows avec le smartphone relié en OTG et en mode debogage...
Windows defender, Il est désactivé chez moi... ^ ^
Normalement, il faut une action volontaire de l'utilisateur d'où le mystère...
Non ! C'est le travail de tout un chacun de participer à la hauteur de ses moyens !
Enfin si tu utilises Windows defender qui est devenu bien plus performant ces dernières années, et est d'ailleurs souvent plébiscité par rapport aux vendeurs d'antivirus.
"et j'ai rien eu encore. " ou tu ne sais pas que tu en as (as eu) ????
surtout sur iOs... ------>
parce que Google s'en balek !
euh c'est pas le travail de FrAndroid d'interroger la source, voir directement Kaspersky ???
oui car plus de ram empêche les malwares ! ^^
[…] https://www.frandroid.com/android/applications/securite-applications/442536_dvmap-certainement-le-plu… […]
Non non, le trojan a aussi le jailbreak intégré... ptdr
<i>"if"</i> La source dit que le trojan tente d'avoir les accès root. S'il les obtient (et seulement si), il va commencer à installer des saletés. Il y a juste que je ne vois pas comment il pourrait obtenir les accès sur un appareil dont le bootloader n'est pas déverrouillé.
tant pis :(
c'est ça ! XDA n'a qu'à bien se tenir !
Trop gros, passera pas.
caramba oublié de le mettre !
Qui te dit que FrAndroid n'a pas fait des recherches de son côté ? Ils ont du vérifier avant d'écrire un truc aussi important !
ok du coup, iOs est clairement au-dessus pour le coup ! Windows Phone aussi tient !
pas d'accord, pour faire le root (de ce que j'ai pu faire les quelques fois où j'en ai eu besoin j'ai dû) : - déverrouiller le bootloard (donc intervention de ma part sur le debogage USB) - installer un recovery custom (donc intervention de ma part avec adb) - flash le root depuis le recovery custom donc intervention de ma part Et en faisant tout ça tu comprends bien que tu outre passes les droits "normaux"
Jamais utilisé d'antivirus sur téléphone car je pense comme toi que c'est une grosse connerie lol Je n'utilise pas d'antivirus sur pc non plus et jamais eu aucun problème non plus
<strike>c'est tout</strike> Epicétou !
Il y a une solution, ne télécharger aucune application sur son smartphone dernier cri 8Go de RAM.
et donc tu peut obtenir des actions root grace a ces fichiers au travers de montees de droits... tu obtient bien les droits root indirectement
"Du coup, je suppose qu'en s'installant, il à déjà les droits root en son seins." : ça m'étonnerait beaucoup, la procédure de root varie d'un smartphone à l'autre. Sur XDA à l'époque, ils disaient que l'application, à partir de la configuration du téléphone sur lequel elle était installée, allait récupérer sur un serveur les instructions à suivre pour rooter le dit smartphone.
en general elles marchent par montees successives de droit, c est a dire une succession d action permettant d aller vers le root
Du coup, déjà, Android gueule pas mal quand tu télécharge l'APK de ce que j'ai vue. Google détecte que l'apk n'est pas du store et en plus, il faut autorisé l'installation depuis une source inconnu. Du coup, je suppose qu'en s'installant, il à déjà les droits root en son seins. (ce qui est interdit sur le paly store, pour des raisons évident) Mais sinon, aucune idée.^^' Et sur leur site, il ne dise pas comment ils font. :D (j'ai rapidement survolé)
C'est un malware avec des réseaux neuronaux c'est tout.
C'est relativement classique les malware qui essayent d'avoir l'accès root même si tu n'as pas rooté ton télephone. Ta des applis qui le faisaient/font en un clic ;)
KingRoot est la plus connue en effet, et il faut aller la récupérer sur XDA par exemple, pas sur le Store.
Bah c'est relativement easy de rooter zon smartphone, donc le virus doit pouvoir faire de même non?
KingRoot de mémoire, mais il faut DL une APK
Aucune idée la par contre. Je sais que quand j'avais un S3, je devais faire ce que je te disais plus haut avant pour root. Maintenant, je ne sais pas comment marche ce genre d'application. TU en aurai une que je regarde un peu ? Cela m'étonne que Google laisse ce genre d'app sur le store, si ?
Tu as raison, j'ai pris un raccourci un peu rapide. Cela dit, les apps qui rootent en un clic (et ça marche dans plusieurs cas !) elles exploitent bien une faille non ?
Ce n'est pas vraiment une faille. Il faut quand même que tu fasse sauter certaine protection avant de pouvoir passer en root sans modifier la rom. Sinon, flasher une rom pré-rooter. Bref, il faut quand même faire pas mal de chose avant de root. Et encore heureux. Tu imagines toute les failles qui existerait si jamais tu en exploite à chaque fois pour root ton tel ? x) Il faut en revanche exploiter une faille sur iOS pour avoir les droits root.
Ah ça...
A première vue, cela est indépendant du constructeur car le malware ne demande que la version de l'OS et s'il est en 32 ou 64 bits. Du coup, j'ai demandé des précision à l'auteur de l'article (la source) pour savoir comment il obtient les droits root.
En fait, ça n'a rien d'inhabituel : quand tu suis un tuto pour rooter ton tél, tu exploites une faille et tu le fais sans demander confirmation... Mais comme c'est fait volontairement, ça installe par la même occasion une application qui elle va se charger de surveiller toutes les requêtes avec droits root et en avertir l'utilisateur.
Ca c'est clairement impossible, sauf à bloquer les possibilités des surcouches. Android est un système ouvert à la base, il est de la responsabilité de ceux qui le modifient de ne pas l'abîmer.
Je sais pas, j'ai vraiment l'impression (peut être à tord mais bon...) qu'un antivirus sur smartphone c'est l'arnaque du siècle
Dans la source de l'article, c'est bien uniquement les fichiers qui obtiennent les droits roots. Rien d'autre. " If these files successfully gain root rights,"
l'un des problèmes est toujours le même : C'est la vérification après publication. Du coup, je me demande comment Google va procéder si jamais un jour, cela fait des gros dégât. Sinon, donner l'application vérole ne sera pas plus mal je pense : colourblock (donné dans la source) au cas où vous auriez DL l'application. Après avoir lu la source, ce qui m'intrique, c'est que l'on ne sait pas comment il arrive à obtenir les droits root. Car dans la source, il parle "exploit pack file" mais il ne détail pas plus comment ces derniers arrivent à obtenir le droit root ? Je vais demander directement au gars qui à écrit la source. Car du coup, si c'est parce que l'user a mal sécurisé ses accès roots... Mais si c'est une autre méthode, je serai bien curieux de savoir. Faille dans le système ?
Bah ouais... C'es un peu son gagne pain quoi. Cela ne me choque pas. Ils trouvent des failles, ils sont payer. Si en plus, ils peuvent dire que avec leur solution, ces réduits les risquent, c'est normal. S'il arrive à trouver des failles, c'est qu'ils savent mieux comment les prévenir. Esprit Gagnant Gagnant.
Ce que j'ai retenu de l'article : "Kaspersky essaye de vendre son produit" On ne connait ni l'application ni l'ampleur des dégâts, tout laisse à croire que ça doit être une application inconnue télécharge 8 fois (dont 6 par les mecs qui taffent à Kaspersky)
Si tu veux appuyer tes propos alors il faut terminer ton commentaire par un "épicétou". Grâce à ça tes arguments deviennent irréfutables !
C'est ça la vérité vraie !
Excuse le Tre, Il ne s'était pas rendu compte que l'information était passée par le contrôle qualité irréfutable de Frandroid, niveau 10 sur l'échelle de la vérité absolue (amen)
Et si on veut être rooté sans rien faire c'est cool !
Parce que Kaspersky c'est son boulot de chercher et de trouver des nouvelles menace pour pouvoir vendre ses produits. C'est ensuite à Google de trouver comment les bloquer si kaspersky ne peut pas bloquer le malware. Mais ne pense pas que Google ne cherche pas ce genre de menace. Juste qu'elles sont etrêmement compliqué à trouver. Et Google paye ceux qui les trouvent.
Pourquoi est ce que c'est kaspersky qui doit s'occuper de ça ?? Pourquoi google ne cherche pas les virus ... ?
peut être que le constructeur modifie et foire des trucs, mais Google devrait avoir un niveau de sécu au dessus, pour justement empêcher ça !
Si c'est marqué ici : "Précisons que celle-ci peut obtenir les droits root sans aucune interaction avec l’utilisateur, ce qui est aussi inhabituel que dangereux" Source article de FrAndroid
Non justement, ca dit que l'appli choppe les droits root, pas qu'elle root le phone, nuance.
Du système, ou du téléphone. Parfois les constructeurs introduisent des failles en personnalisant Android. Parfois ce sont les drivers du matériel qui introduisent des failles. Bref Android lui-même n'est pas forcément en cause dans ce cas là. Après j'ai envie de dire ça n'a rien d'inhabituel que l'application obtienne les droits root sans interaction. Après tout la seule difficulté c'est de rendre un éxecutable capable de changer d'utilisateur (le fameux droit SUID des permissions Unix). Après, il n'y a pas de raisons que quoi que ce soit ne soit demandé à l'utilisateur.
Hommage :)
non lit l'article, l'appli root elle même le tel sans intervention de l'utilisateur... y a pas à dire, Android c'est sécurisé... je serais DSI je me poserai des questions...
"Précisons que celle-ci peut obtenir les droits root sans aucune interaction avec l’utilisateur, ce qui est aussi inhabituel que dangereux" Et également une faille MONUMENTALE du système !
Ne touche que les phones rootés à priori ?
BÊÊÊÊÊ Pardon c'était trop tentant ^^
"en plus de contourner très intelligemment les sécurités du Google Play Store" mettez nous vite le smiley qui se roule par terre dans disqus !
Eh beh.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix