RottenSys: un malware pré-installé sur près de 5 millions de téléphones Android

Les chercheurs en sécurité de l’équipe de Check Point Mobile Security, ont découvert une vaste campagne de logiciels malveillants sans cesse croissante qui a déjà infecté près de 5 millions de smartphones dans le monde. Baptisé RottenSys, le malware qui se déguisait en une application «System Wi-Fi» était pré-installé sur des millions de nouveaux smartphones fabriqués par Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung et GIONEE.

Tous ces appareils affectés ont été expédiés par l’intermédiaire de Tian Pai, un distributeur de téléphones mobiles basé à Hangzhou, mais les chercheurs ne sont pas sûrs si la société a une implication directe dans cette campagne.

Selon l’équipe de Check Point Mobile Security, qui a découvert cette campagne, RottenSys est un logiciel malveillant avancé qui ne fournit aucun service lié au Wi-Fi sécurisé, mais qui prend presque toutes les autorisations Android sensibles pour activer ses activités malveillantes.

Mode de fonctionnement de RottenSys

Pour échapper à la détection, la fausse application de service Wi-Fi vient initialement sans composant malveillant et ne démarre aucune activité malveillante immédiatement. Ensuite, RottenSys ayant été conçu pour communiquer avec ses serveurs de commande et de contrôle afin d’obtenir la liste des composants requis, qui contiennent le code malveillant réel, RottenSys télécharge et installe par la suite chacun de ses composants, en utilisant l’autorisation « DOWNLOAD_WITHOUT_NOTIFICATION » qui ne nécessite aucune interaction de l’utilisateur.

En ce moment, la campagne massive de logiciels malveillants pousse un composant publicitaire sur tous les appareils infectés qui affichent agressivement des publicités sur l’écran d’accueil de l’appareil, comme des fenêtres pop-up ou des publicités plein écran pour générer des revenus publicitaires frauduleux.

Lire aussi: Comment protéger votre appareil Android contre les hackers ?

Un revenu conséquent grâce à RottenSys

Selon les chercheurs de CheckPoint, le malware a fait plus de 115 000 $ à ses auteurs au cours des 10 derniers jours seulement.

Étant donné que RottenSys a été conçu pour télécharger et installer de nouveaux composants à partir de son serveur C & C, les attaquants peuvent facilement manipuler ou contrôler totalement des millions de périphériques infectés.

L’enquête a également révélé des preuves que les attaquants de RottenSys ont déjà commencé à transformer des millions de ces appareils infectés en un réseau de réseaux de zombies massif.

Certains périphériques infectés ont été trouvés en installant un nouveau composant RottenSys qui offre aux attaquants des capacités plus étendues,  qui comprennent l’installation silencieuse d’applications supplémentaires et l’automatisation de l’interface utilisateur.

Comment détecter et supprimer le Malware RottenSys?

Pour vérifier si votre appareil est infecté par ce logiciel malveillant, accédez aux paramètres du système Android → Gestionnaire d’applications, puis recherchez les noms de package de logiciels malveillants suivants:

• com.android.yellowcalendarz (每日黄历)
• com.changmi.launcher (畅米桌面)
• com.android.services.securewifi (系统WIFI服务)
• com.system.service.zdsgt

Si l’un des éléments ci-dessus figure dans la liste de vos applications installées, désinstallez-le simplement.