Depuis 2016, le malware Mandrake infecte des dizaines de milliers de smartphones sous Android. Les pirates cachent leur virus dans des applications gratuites et au-dessus de tout soupçon. L'objectif est de collecter des données personnelles.
au sommaire
« Le but ultime de Mandrake est le contrôle total de l'appareil. C'est l'un des malwares AndroidAndroid les plus puissants que nous ayons vus jusqu'à présent ». Cette phrase est signée Bogdan Boteztu, directeur de recherche de Bitdefender, et on la trouve dans un livre blanc de 58 pages sur un malware. Un malware pas comme les autres puisque selon cet éditeur d'antivirus, Mandrake circule et agit depuis quatre ans !
Dans ce livre blanc, on apprend ainsi qu'il a infecté des dizaines de milliers de smartphones sous Android, et que sa spécialité est de récupérer des données personnelles. Pour y parvenir, son attaque s'effectue en trois étapes. La première, très classique, est de se cacher dans une applicationapplication populaire, qui n'éveille aucun soupçon. Comme un Cheval de Troie « incroyable sophistiqué » pour reprendre l'expression de BitDefender.
Un piège en trois étapes
Ces applications sont nombreuses, avec des noms d'éditeurs différents. Elles sont le plus souvent gratuites, et elles possèdent même leur site Internet ou des comptes sur les réseaux sociauxréseaux sociaux. Tout est mis en place pour que l'application soit considérée comme la plus sûre possible par les utilisateurs. D'autant que le téléchargement s'effectue depuis le Play Store de GoogleGoogle, censé être sécurisé au maximum.
Ensuite, une fois que le fichier est installé dans le smartphone, le malware a besoin d'installer un second fichier. Pour cela, il a besoin du consentement de l'utilisateur, et la fenêtrefenêtre qui apparaît laisse supposer que c'est Android qui a besoin d'installer le programme. L'utilisateur peut ainsi penser que c'est une simple mise à jour. S'il accepte, le mal est fait. BitDefender explique aussi que pour piéger des utilisateurs plus aguerris, le malware affiche des fenêtres d'acceptation de licence, comme on en voit souvent, mais lorsqu'on accepte, on installe malgré soi le programme vérolé.
Le pirate cible ses victimes pour voler des données
La troisième étape, c'est le téléchargement d'un fichier qui va se placer dans le noyau d'Android, comme un service du système d’exploitation. Une fois que c'est fait, le pirate a alors accès à toutes les données du téléphone, et il peut les collecter très simplement en les récupérant sur son serveur. Le plus inquiétant, c'est que les pirates ciblent leurs victimes, et ils sont capables d'effacer leur virus, une fois que la collecte des informations est terminée !
Inquiétant aussi, le fait que le malware circule encore. Il avait été repéré il y a quatre ans en Australie, et aujourd'hui il frappe toutes les régions du monde. Pour s'en prémunir, il est conseillé d'installer uniquement d'éditeurs d'applications reconnus. Même si une application peut être attirante par sa gratuité ou une fonction inédite, il est préférable dans l'immédiat de ne pas se jeter dessus. De la même façon qu'il est conseillé de ne pas cliquer sur des fenêtres qui apparaissent pour faire valider des accords de licence ou des mises à jour.