Nouvelle vulnérabilité ‘Fakedebuggerd’ dans le système d'exploitation Android 4.x permettant aux hackers d'accéder aux droits root

Table des matières

• Nouvelle vulnérabilité ‘Fakedebuggerd’ dans toutes les versions du système d’exploitation Android jusqu’à Lollipop, permettant aux hackers d’accéder aux droits root
• Fakedebuggerd cible les appareils Android 4.x
• Mode opératoire

Nouvelle vulnérabilité ‘Fakedebuggerd’ dans toutes les versions du système d’exploitation Android jusqu’à Lollipop, permettant aux hackers d’accéder aux droits root

Des chercheurs en sécurité de la société chinoise d’antivirus 360 ont découvert une nouvelle vulnérabilité dans le système d’exploitation Android de Google, nommée ‘Fakedebuggerd’. Cette nouvelle vulnérabilité permet aux hackers potentiels d’obtenir un accès root pour installer des fichiers et d’escalader les privilèges sur les smartphones et tablettes fonctionnant sous Android OS et d’exécuter des codes malveillants à volonté.

Selon les chercheurs de 360, la vulnérabilité Fakedebuggerd permet à un attaquant potentiel d’accéder à une zone qui ne peut être atteinte qu’avec des permissions système ou root. La vulnérabilité utilise deux exploits d’escalade de privilèges (PE) connus d’Android 4.x, ‘FramaRoot’ et ‘TowelRoot’, pour exécuter du code avec des privilèges root et installer un kit d’outils root sur l’appareil. Cela permet au hacker potentiel de cacher le code à la fois de l’utilisateur Android et des solutions de sécurité fonctionnant sur les appareils. Ainsi, le hacker peut injecter n’importe quelle application malveillante sans que les utilisateurs ne s’en aperçoivent.

Fakedebuggerd cible les appareils Android 4.x

La vulnérabilité est de haut risque car elle donne une sérieuse escalade de privilèges aux manipulateurs de logiciels malveillants et c’est la première fois que les chercheurs ont découvert des vulnérabilités d’escalade de privilèges dans Android 4.x.

Comme mentionné ci-dessus, elle utilise deux exploits, ‘TowelRoot’ et ‘FramaRoot’ ensemble, ce qui signifie qu’elle a un taux d’infection plus élevé ainsi que de plus grandes chances de se cacher des moteurs AV à bord de l’appareil de l’utilisateur. L’exploit Towelroot est basé sur la vulnérabilité de l’appel système futex() (CVE-2014-3153). Cette vulnérabilité Linux a été découverte il y a cinq mois par Comex et affecte presque tous les appareils Android avant Android 5.0 Lollipop.

L’autre exploit, Framaroot, est essentiellement un outil de rooting et est basé sur plusieurs exploits pour la plupart des appareils Samsung, LG, Huawei, Asus et ZTE, et plus encore. Les exploits qui forment le Framaroot sont nommés d’après des héros de la populaire trilogie de JRR Tolkien “Le Seigneur des Anneaux”, comme Gandalf, Boromir, Pippin, Legolas, Sam, Frodo, Aragorn et Gimli. Presque tous les smartphones Android fabriqués par les entreprises ci-dessus peuvent exécuter Framaroot assez facilement, ce qui rend Fakedebuggerd un vecteur très puissant.

Mode opératoire

Une fois que la vulnérabilité Fakedebuggerd est exploitée et que le kit d’outils root est déployé sur l’appareil infecté, le code malveillant collecte des données sensibles telles que des identifiants uniques, des versions d’appareil et des données de connectivité réseau. De plus, il installera des applications inutiles comme Flashlight et Calender sans la permission des utilisateurs. Le Fakedbuggerd est assez agressif dans son intention et utilise des mesures extrêmes pour les garder installées. Même si ces applications sont supprimées par l’utilisateur en utilisant des privilèges root, le Fakedbuggerd les réinstalle automatiquement en utilisant l’exploit PE.

Et comme mentionné ci-dessus, en raison de la technique de camouflage parfaite du logiciel malveillant, simplement supprimer les applications suspectes ne fonctionnera pas dans ce cas.

Le malware Fakedbuggerd est une menace sérieuse en raison de sa capacité à accéder aux privilèges root et à exécuter des codes chargés de logiciels malveillants sur les appareils infectés. Dans le monde d’aujourd’hui de convergence où les données d’entreprise critiques et confidentielles et les téléphones mobiles sont interconnectés, Fakebuggerd peut causer des ravages sans précédent.

À l’heure actuelle, aucune solution de sécurité ou antivirus ne peut détecter ce malware, par conséquent, la précaution est le meilleur remède contre l’infection par cette vulnérabilité.

• Évitez les APK tiers et non vérifiés et utilisez les applications officielles de Google Play pour le téléchargement.

• Même si vous devez télécharger un APK, restez avec des développeurs d’applications de confiance et bien évalués.

• Méfiez-vous des fausses publicités (malvertisements) et des liens de phishing dans toutes les formes de communication – SMS, e-mail et réseaux sociaux.

Ressource : Blog 360.