La société de sécurité Doctor Web vient de découvrir une grande infection touchant particulièrement les télévisions connectées ainsi que d’autres boitiers TV basés sur Android Open Source Project (AOSP).
Les malwares peuvent se présenter sous différentes formes et peuvent toucher n’importe quel appareil. Cette nouvelle attaque est assez particulière parce qu’elle touche les télévisions connectées. Appelé Android.Vo1d, il est présent dans la zone de stockage et a déjà touché plus de 1,3 million d’appareils. Notons que tous ces dispositifs utilisent la version open source d’Android, ainsi ils ne sont pas contrôlés par Google.
Un malware qui a déjà touché plusieurs pays
Cette infection s’est propagée dans 200 pays environ, mais elle n’a pas touché l’Europe ni l’Amérique du Nord. Par ailleurs, ils ont constaté que la présence du malware est très large, car 28 % des contaminations se sont produites au Brésil.
Le plus étonnant est que Doctor web n’arrive pas à identifier le vecteur d’attaque. Oui, vous l’avez bien lu, on ne sait pas exactement comment tous ces dispositifs ont été contaminés par ce malware. Notons également que les versions d’Android utilisées vont de 7.1.2 à 12.1.
Cependant, tous les appareils contaminés présentent les mêmes signes. On peut trouver un changement de fichiers install-recovery.sh et daemonsu. On a également remarqué la présence de quatre nouveaux fichiers, dont deux dans /system/xbin et deux dans /system/bin.
Comment fonctionne ce nouveau malware ?
« Les auteurs du cheval de Troie ont probablement essayé de déguiser l’un de ses composants en programme système /system/bin/vold, en l’appelant par le nom similaire « vo1d » (en remplaçant la lettre minuscule « l » par le chiffre « 1 »). Le nom du programme malveillant provient du nom de ce fichier. De plus, cette orthographe est consonante avec le mot anglais « void » », expliquent les chercheurs.
Une fois que le malware Android.Vo1d installé sur l’appareil, les hackers peuvent avoir le contrôle de l’appareil. Notons aussi que chaque malware est utilisé pour en télécharger d’autres, selon les objectifs poursuivis.
Effectivement, Doctor Web affirme que son antivirus peut repérer et effacer l’intrus. Toutefois, les données seront plus difficiles à partager auprès des personnes concernées.
De son côté, Google n’a pas manqué de préciser que les appareils étaient sous AOSP et ne disposaient donc pas du Play Store.
En effet, le mécanisme de sécurité Play Protect n’était pas disponible. Parce que, si Android Open Source Project (AOSP) est parfaitement supervisé par Google, le projet n’incorpore pas les composants propres à l’entreprise.
Même si cette attaque ne touche pas particulièrement la France, il est toujours important de redoubler de vigilance, car le malware peut l’atteindre du jour au lendemain. Cependant, le plus difficile est de savoir comment se protéger de cette attaque. Si vous avez des idées, vous pouvez très bien partager votre avis dans les commentaires.
- Partager l'article :