Sécurité Mobile

Comment protéger votre appareil Android contre Ghost Push ?

Threat Intelligence Team, 31 janvier 2017

L'équipe Avast spécialisée dans les menaces informatiques précise les caractéristiques de Ghost Push ainsi que les moyens à mettre en œuvre pour s'en protéger.

Ghost Push est un type de malware qui exploite les failles de votre système pour bénéficier d'un accès racine aux appareils Android, afin de télécharger et d'évaluer d'autres applications en arrière-plan. Victimes de procédés de piratage d'identité, les utilisateurs sont conduits à télécharger Ghost Push à partir de boutiques d'applications tierces ou via des liens qu'ils reçoivent par SMS.

Une fois installé, Ghost Push tentera d'obtenir un accès racine. Comme son nom le suggère, le malware Ghost Push agit en mode fantôme une fois qu'il a obtenu un accès racine : les utilisateurs infectés ne se rendent compte de rien. Tout se déroule en arrière-plan.

Récemment, une nouvelle variante de Ghost Push en cours de propagation a été détectée. Gooligan s'empare des adresses électroniques et jetons d'authentification stockés sur les appareils infectés, accédant ainsi aux données des comptes Google des utilisateurs, notamment Gmail et Google Play. Plus d'un million de comptes d'utilisateurs Google Play ont été affectés.

La menace Ghost Push est-elle à prendre au sérieux ? D'après nos recherches, les premières variantes de Ghost Push, sous forme d'adware (Xinyinhe), ont été détectées en 2014. Xinyinhe a été développé par une entreprise chinoise située à Shenzhen, assurant alors la promotion de jeux vidéo sur mobile. Pour installer des applications sans éveiller la suspicion des utilisateurs, Xinyinhe parvenait à attaquer les appareils Android des utilisateurs afin de bénéficier d'un accès racine.

1.jpg

(adresse du serveur Xinyinhe)

2 (1).jpg

(aperçu d'une attaque Ghost Push via GingerBreak)

Face à la profusion d'applications disponibles sur Google Play, les sociétés développant des applications mobiles doivent s'assurer que leurs produits connaissent un taux élevé de téléchargements et d'évaluations positives. C'est dans ce contexte que l'on a vu fleurir des plateformes clandestines de promotion d'applications.

Ci-dessous, des photos illustrant des sociétés chinoises spécialisées dans la promotion des applications mobiles (employés en train d'activer manuellement des applications via des clusters pour Android).

3.jpg

Gooligan (variante de Ghost Push dénommée ainsi par Check Point) est plus complexe que Xinyinhe. Après avoir attaqué l'appareil pour obtenir l'accès racine, Gooligan s'empare du compte Google Play de l'utilisateur afin de télécharger clandestinement des applications à partir de Google Play. La plupart des appareils Android utilisés en Chine ne prennent pas en charge la plateforme Google Play ; c'est pourquoi les utilisateurs chinois téléchargent leurs applications à partir de boutiques d'applications Android locales.

Les utilisateurs d'Asie du Sud-est ont été les premières victimes de Gooligan. Dans certains pays de cette région, où Google Play est disponible, les smartphones Android d'entrée de gamme rencontrent un succès certain. Malheureusement, ces appareils sont en général livrés avec une version de système d'exploitation Android antérieure, pour laquelle aucune mise à niveau n'est disponible.

En conséquence, les versions Android les plus couramment utilisées en Asie du Sud-est vont de 4.2 à 4.4. Ces versions présentent des problèmes de sécurité et sont particulièrement vulnérables. Une fois les appareils infectés par le malware Gooligan, ce dernier obtient facilement un accès racine.

Au cours des deux dernières années, quelques programmes connus (DirtyCow, iovroot, Pingpong root, etc.) accédant frauduleusement à la racine des systèmes ont été mis à la disposition du grand public. Ce contexte rend l'accès à la racine de nouveaux systèmes encore plus aisé pour Gooligan. Outre les utilisateurs d'Asie du Sud-est, ceux d'Europe et du continent américain ont été affectés, notamment ceux utilisant d'anciennes versions du système d'exploitation Android.

Comment vous protéger contre Ghost Push ?

  • Installez un antivirus sur votre smartphone. Nous recommandons en général Avast Mobile Security, une solution qui détecte et lutte contre Ghost Push, notamment Xinyinhe et Gooligan.

Installez Avast Mobile Security à partir de Google Play

  • Évitez d'acheter des smartphones premier prix ou d'occasion. Privilégiez les appareils neufs manufacturés par une marque établie, afin de bénéficier du dernier système d'exploitation Android.
  • Effectuez vos téléchargements uniquement à partir de Google Play. Veillez à ce que les liens vous soient envoyés par SMS pour plus de sécurité.

Le code de hachage de l'exemple Xinyinhe décrit est le suivant : e6dbf2d24c1450b2ea72604c5705bdf72dd02c92eb2873c52a0a80f97eda745a

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.