TOOLinux

Le journal du Libre

Simbad, nouvelle campagne de maliciels sur le Google Play Store

jeudi 14 mars 2019

Le maliciel a été déniché dans pas moins de 206 applications et a été téléchargé près de 150 millions de fois. La campagne a été baptisée Simbad en raison du fait que les applis les plus infectées sont des jeux de simulation, selon un rapport.

On doit la découverte à des chercheurs de l’éditeur Check Point Software Technologies. Douze applications infectées ont été découvertes à ce jour ; au total, elles ont déjà été téléchargées 111 millions de fois. Google a d’ores et déjà été averti et les applications infectées ont été retirées du Google Play Store.

Que fait Simbad ?

Simbad peut déclencher trois actions différentes : afficher des publicités indésirables, procéder par hameçonnage et établir des liens vers d’autres applis.

En obtenant la possibilité d’activer une URL déterminée dans un navigateur, l’“auteur” qui est à l’origine de Simbad peut générer plusieurs pages d’hameçonnage et les ouvrir dans le navigateur de la victime.

Enfin, Simbad peut même ouvrir des applis, telles que Google Play et 9Apps, ce qui permet au pirate d’exposer encore davantage la victime à d’autres menaces.

Comment opère Simbad ?

Toutes les applis infectées exploitent le SDK (Software Development Kit) malveillant “RXDrioder” pour passer en mode actif. Une fois installées, le maliciel établit une connexion avec le serveur Command and Control concerné et reçoit une mission à effectuer. Simbad peut procéder à de très nombreuses actions sur l’appareil de l’utilisateur, par exemple supprimer le pictogramme du programme d’initialisation, ce qui compliquera la tâche de l’utilisateur s’il veut annuler l’installation.

Le danger au coeur des modes de développement ? Les “Supply Chain Attacks”
Simbad est un bel exemple du danger qui se cache dans les nouvelles méthodes de développement d’applis. Ces dernières sont désormais construites à l’aide d’une chaîne complexe de bibliothèques externes ou de composants... en source libre. Les ingénieurs logiciel et les équipes DevOps ont recours à ces codes “prêts à l’emploi”, les utilisant comme des briques pour bâtir leurs futures applications.

« Dans le cadre de ce genre d’attaques, les hackers utilisent des codes tiers fiables pour acheminer les maliciels vers des clients crédules, en les insérant dans ces codes. De nombreux ingénieurs, dans tous les secteurs, logiciel ont adopté cette démarche qui constitue véritablement le maillon faible de la cyber-sécurité des entreprises. » - Check Point

Comment se protéger ?

Les entreprises doivent savoir avec précision quels produits commerciaux et open source elles utilisent.

Une démarche de type “la cyber-hygiène d’abord” est un autre élément important. Elle permet à une entreprise d’avoir une vision complète de l’environnement informatique et de tenter d’éviter d’éventuels “angles morts”.

A mesure que le nombre d’applications qui s’ajoutent à un écosystème informatique augmente, les équipes de sécurité éprouvent souvent de plus en plus de difficultés à savoir qui installe de telles applications et où.