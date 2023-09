Dans la course à l’innovation, les pirates sont toujours en tête. Pour contourner les mesures de sécurité de nos smartphones, ceux-ci utilisent une méthode jusqu’alors inconnue, ou du moins non couverte par les analyses anti-malwares.

Des milliers de fichiers corrompus dans la nature

Ce sont les analystes de Zimperium, une société spécialisée dans la sécurité mobile, qui ont repéré une méthode de compression inédite utilisée par des logiciels malveillants. Dans une note de blog, la firme annonce avoir repéré plus de 3 000 supports utilisant cette méthode, dont 71 d’entre eux pouvant être chargés sur un système d’exploitation sans le moindre problème ou le moindre blocage. Si le concept de logiciel malveillant n’est pas nouveau, ce qui change ici est bien la technique de camouflage utilisée par ces artefacts, à savoir la compression d’APK furtive.

Comment fonctionne la technique de l’APK furtive ?

Si cette technique réussit à passer entre les mailles du filet des analyses anti-malwares, c’est parce que les APK corrompues reposent sur une méthode limitant les possibilités de décompiler l’application par la plupart des outils. Ainsi, grâce à cette technique de décompression non prise en charge, les APK peuvent embarquer une suite malveillante qui passe sous les radars. Pour ce faire, elles utilisent deux outils : un mode sans compression et un autre supporté par un algorithme DEFLATE. Si le système n’est pas stable sur Android 9 Pie et antérieur, il est parfaitement rôdé pour les versions supérieures de l’OS.

Les stores alternatifs encore en cause

Autre astuce utilisée par les pirates, les noms de fichiers pèsent plus de 256 octets et le document AndroidManifest.XML (sorte de passeport de l’application) est mal formé. Des astuces qui mènent au plantage récurrent des outils d’analyse. Mais comment de tels logiciels malveillants peuvent être présents sur les stores ?

Eh bien encore une fois, le danger ne rôde pas sur le Play Store Android. Ce sont à nouveau les plateformes de téléchargement d’APK alternatives qui sont en cause. Bien plus permissives que la boutique d’applications officielle de Google, avec moins de contrôle, elles sont donc l’environnement parfait pour héberger des supports corrompus et à risques.

Cependant, ne pensez pas être tiré d’affaires si vous ne téléchargez que sur le Play Store ! Il y a quelques semaines, Google alertait sur la présence d’applications à risques sur sa boutique, qui se reposent sur la technique du versioning.