Les icônes Android peuvent être exploitées par des hackers en utilisant une faille pour diriger l'utilisateur vers un site de phishing lorsqu'elles sont cliquées – FireEye

FireEye a rapporté qu’il a récemment repéré une application Android malveillante qui pourrait modifier les icônes d’autres applications sur le smartphone ou la tablette Android des utilisateurs. Une fois les icônes modifiées, si et quand elles étaient cliquées par l’utilisateur du smartphone, l’utilisateur serait envoyé vers un site de phishing.

Le rapport de blog sur FireEye rédigé par les chercheurs en sécurité Hui Xue, Yulong Zhang et Tao Wei indique que l’application malveillante a abusé d’un ensemble de permissions pour modifier les paramètres de configuration du lanceur par défaut d’Android et les icônes.

Le malware abuse d’un ensemble de permissions connues sous le nom de “com.android.launcher.permission.READ_SETTINGS” et “com.android.launcher.permission.WRITE_SETTINGS.”

• *

Selon les chercheurs de FireEye, les deux permissions ci-dessus ont longtemps été classées comme “normales”, une désignation donnée aux permissions d’application considérées comme n’ayant pas de possibilités malveillantes. Par conséquent, ces permissions ne sont pas incluses dans l’ensemble standard de permissions qu’un utilisateur Android doit ‘accepter’ lorsqu’il ou elle installe une nouvelle application.

• *

Cette désignation “normale” donnée par le système d’exploitation Android est la faille que les auteurs de malware ont utilisée pour écrire cette application malveillante particulière. Ainsi, l’application malveillante “a utilisé ces permissions normales” et a remplacé les icônes légitimes de l’écran d’accueil Android par de fausses qui pointent vers des applications ou des sites de phishing,” ont-ils écrit.

• *

Les auteurs ont également déclaré que FireEye a développé une attaque de preuve de concept en utilisant la tablette Nexus 7 de Google fonctionnant sous Android version 4.2.2 pour montrer que les icônes pouvaient être modifiées pour envoyer les gens vers un autre site web. FireEye a pu contourner les vérifications de sécurité de Google en place et a pu télécharger l’application qu’il a appelée ‘ThisIsATestApp’ sur le Play Store de Google, qu’ils ont retirée après avoir confirmé leur preuve de concept.

Le Play Store de Google, qui vérifie les applications pour des problèmes de sécurité, surtout après l’apparition des fausses applications sur Google Play, a considéré l’application comme légitime et l’a publiée sur Google Play. FireEye a ajouté qu’aucun utilisateur n’a téléchargé l’application PoC pendant le bref moment où elle a été listée sur le Play Store de Google.

• *

FireEye a fourni à Google la preuve de concept concernant cette faille au mois d’octobre 2013 et Google a émis un correctif en février 2014 pour surmonter cette faille, selon FireEye. Google a émis le correctif à tous ses partenaires OEM car cela devait être inclus dans la mise à jour elle-même, mais FireEye dit que tous les OEM ne sont pas assez rapides pour mettre à niveau et mettre à jour les correctifs de sécurité. Cela signifie que plusieurs smartphones Android fonctionnant sur le ROM d’origine sont toujours vulnérables à cette application malveillante.

• *

FireEye affirme que même les ROM personnalisées disponibles dans le monde entier traitent les permissions ci-dessus comme légitimes, rendant ainsi même les smartphones Android fonctionnant sous CyanogenMod vulnérables à cette attaque. FireEye a testé un Nexus 7 fonctionnant sous ROM personnalisée CyanogenMod ainsi qu’un Samsung Galaxy S4 fonctionnant sous Android 4.3 et un HTC One fonctionnant sous 4.4.2. Tous classifient les permissions “read_settings” et “write_settings” comme normales.

• *

FireEye a exhorté chaque fournisseur Android à mettre à niveau la version OEM d’Android avec le correctif de sécurité. Le véritable danger est que les attaquants pourraient modifier l’icône d’une application bancaire et tromper les utilisateurs pour qu’ils divulguent des informations sensibles comme leurs identifiants de compte bancaire sur un faux site web qu’ils ont créé.

Ressource : Blog FireEye