Les chercheurs de Malwarebytes ont fait face à un nouveau type de malware Android. Nettoyé à plusieurs reprises, il se réinstallait toutes les heures. Pour mettre fin à la boucle infernale, ils ont dû pousser leurs manipulations au-delà de la réinitialisation complète du smartphone.

Il est tellement coriace, que même une réinitialisation complète du smartphone n’en est pas venue à bout. Le cheval de Troie xHelper, destiné aux smartphones Android, a refait surface en ce début d’année 2020, dans une version presque impossible à nettoyer. Il avait déjà fait de nombreuses victimes à l’été 2019, en permettant aux malfaiteurs de déployer d’autres logiciels malveillants.

Mais cette version améliorée a donné du fil à retordre à l’équipe de Malwarebytes, dirigée par Nathan Collier. L’analyste affirme même que le mode opératoire du malware marque une « nouvelle ère » des logiciels malveillants sur smartphone.

Un virus qui se réinstalle en permanence

Les chercheurs de Malwarebytes ont été avertis courant janvier 2020 par une utilisatrice. Connaisseuse, elle avait identifié que son téléphone était infecté avec xHelper. Après avoir utilisé l’anti-malware de la marque, elle avait réussi à retirer deux versions de xHelper, ainsi qu’un cheval de Troie. Seulement, xHelper revenait à peine une heure après avoir été supprimé. L’équipe de recherche a donc dû s’y pencher de plus près.

Avant de contacter le service, l’utilisatrice avait tout tenté, jusqu’à réinitialiser son smartphone. Concrètement, cette manœuvre remet tous les paramètres de l’appareil à zéro, comme à la sortie de l’usine : plus d’applications ni de photos ni de contact ni d’historique. En bref : aucune trace de son utilisation, à part quelques fichiers dans les basses couches logicielles.

Raté : cette manipulation n’a pas résolu le problème, et xHelper continuait à se réinstaller. Confrontée à un casse-tête, l’équipe de Malwarebytes a d’abord écarté la piste d’un malware qui possèderait les droits sur l’administration de l’appareil. Si tel avait été le cas, il aurait normalement empêché de désinstaller les app infectées par xHelper. Après avoir nettoyé l’historique et les caches des navigateurs, les experts ont aussi balayé la possibilité d’une menace liée à la navigation sur le web.

Un malware préinstallé sur le smartphone ? Encore raté

Il leur restait une piste, celle du logiciel malveillant préinstallé sur l’appareil. Elle paraissait d’autant plus crédible que le smartphone provenait d’un constructeur « moins connu », d’après l’équipe de Malwarebytes. Il ne s’agit que d’une façon polie de parler d’une de ces marques inconnues du grand public, dont les garanties de sécurité sont plus que douteuses.

Les chercheurs ont guidé l’utilisatrice dans une procédure de debug, qui demandait un branchement au PC. Dans le détail, ils ont utilisé une méthode pour rendre inutiles les applications système préinstallées (comme par exemple celle des réglages), même si elles restaient techniquement sur l’appareil. Les experts ont désactivé une à une chaque application qui leur paraissait suspicieuse. Sauf que même après avoir désactivé l’app en charge des mises à jour du système, xHelper continuait de revenir à incessamment.

Le coupable se cachait derrière Google Play

À force de tout nettoyer et désactiver, les options se réduisent : « puisque nous étions à court d’idées, nous avons désactivé Google Play [le magasin d’application lié à Android, ndlr] », concède Nathan Collier. Surprise : les réinfections s’arrêtent. Pourtant, aucune des applications malveillantes détectées n’était téléchargée depuis cette application. En revanche, elles la désignaient comme source.

Les chercheurs sont interloqués : Google Play lui-même serait infecté ? Quelques analyses plus tard, la piste est abandonnée. Enfin presque : un élément dans Google Play déclenche la réinfection, ou du moins, se sert de l’app comme couverture.

Le problème n’est pas entièrement résolu

En creusant dans les fichiers du téléphone à la recherche du nom lié aux programmes xHelper « com.mufc », ils parviennent à trouver un dossier, lié à une APK. Derrière ce sigle, le nom de l’archive qui contient tout le nécessaire pour une application Android. Sauf que dans ce cas, l’APK servait à déployer un cheval de Troie, qui lui-même déployait la nouvelle version de xHelper. En nettoyant cette APK, l’équipe de Malware Bytes a résolu le problème.

Si les chercheurs ont tant peiné à le trouver, c’est parce que le nom de ce cheval de Troie n’est trouvable nulle part sur l’appareil. Les experts émettent l’hypothèse qu’il s’installe, déploie les logiciels malveillants, puis se désinstalle, le tout en quelques secondes, pour passer sous les systèmes de détection. Puis la boucle recommence, de façon a priori infinie. Les chercheurs pensent que quelque chose déclenche le cycle du cheval de Troie depuis Google Play. Quoi ? La question reste en suspend.

Crédit photo de la une : YouTube À propos d'ExpressVPN ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché. Plus d’informations sur la solution VPN d'ExpressVPN