Menu Fermer

Les malwares Android qui root : comment ça marche

Android est un système d’exploitation devenu très populaire grâce aux millions de smartphones dans le monde.
Sa populaire le rend de plus en plus la cible de logiciels malveillants android.
Parmi les malwares les plus dangereux, on trouve les malwares qui root le système, permettant un accès total au système d’exploitation.

Dans ce tutoriel complet, je vous dis tout sur les malwares qui root votre appareil Android.
Que sont-ils ? pourquoi les malwares cherchent à rooter votre appareil ? comment s’en protéger et comment supprimer un malware qui root le système.

Les malwares Android qui root le système : comment ça marche

Qu’est-ce qu’un malware qui root

Avant de commencer, il faut bien comprendre comment fonctionne le système d’exploitation Android.
Cela afin de bien comprendre ce qu’il ne faut pas faire.

Le mot root (racine) est un mot qui provient du système d’exploitation Unix puis Linux.
Il désigne l’utilisateur administrateur par défaut qui a un accès complet sur le système d’exploitation.

Android étant un système d’exploitation dérivé du noyau Linux et basés sur quelques utilitaires, il reprend ce mécanisme.
En effet, sur Android par défaut, l’utilisateur n’est pas administrateur.
Un utilisateur Android peut personnaliser beaucoup d’éléments, comme le fond d’écran, les menus, installer des applications, mais beaucoup de fonctionnalités plus bas dans le système ne sont pas accessibles.
Par exemple, vous ne pouvez pas désinstaller les applications fournies par le constructeur ou l’opérateur téléphonique.

Il faut donc distinguer deux types de menaces sur Android :

  • Celles qui s’installent au niveau utilisateur. L’utilisateur pourra désinstaller l’application sans trop de soucis. La difficulté ici est de trouver l’application malveillante. Une réinitialisation de l’appareil (téléphone ou tablette) permet aussi de se débarrasser de l’intrus.
  • Celles qui root le téléphone pour obtenir les droits administrateur. C’est à dire modifie la ROM et se charge plus bas. Là, la réinitialisation peut ne pas supprimer le logiciel malveillant.

Pourquoi les malwares cherchent à rooter votre appareil ?

La recherche d’accès élevé dans le système est le graal pour les attaquants, car cela permet un accès total dans le système.
Le malware peut s’enraciner plus profondément dans le système mais aussi contrôler certaines applications dont les antivirus.

Avec l’accès d’utilisateur root, les chevaux de Troie mobiles peuvent :

  • Détourner des mots de passe d’un navigateur
  • Acheter des applications furtivement dans Google Play
  • Remplacer des URL dans un navigateur
  • Installer des applications furtivement, y compris sur les partitions du système
  • Modifier le firmware de façon à ce que les chevaux de Troie restent sur un appareil même après la réinitialisation des paramètres
  • La réinitialisation du système ne permet de supprimer un malware root car ces applications malveillantes sont installées en tant qu’applications système et ne seront donc pas affectées par la réinitialisation

Enfin un malware en root peut se rendre plus discret mais surtout être plus difficile à supprimer de l’appareil.
Cela garantit une persistance plus importante dans le téléphone.

Ainsi, les malwares cherchent à obtenir les droits administrateurs sur Android.

Comment un malware root votre smartphone Android

En général, les logiciels malveillants qui root le terminal s’introduisent dans votre téléphone par le biais d’une application infectée. Il peut s’agir soit d’une application légitime contenant un malware d’enracinement, soit d’une application conçue spécialement pour inciter les utilisateurs à la télécharger.

Pour obtenir les droits root, les malwares ont deux possibilités :

Par exemple, en octobre 2021, le malware AbstractEmu a exploiter les vulnérabilités suivantes pour obtenir les droits administrateurs : CVE-2020-0041CVE-2020-0069CVE-2019-2215 (Qu1ckr00t), CVE-2015-3636 (PongPongRoot), et CVE-2015-1805 (iovyroot).

Le malware AbstractEmu attendra les commandes de son serveur C2, qui peut lui ordonner de récolter et d’exfiltrer des fichiers en fonction de leur nouveauté ou de leur conformité à un modèle donné, de créer une racine sur les appareils infectés ou d’installer de nouvelles applications.

Les actions supplémentaires qu’AbstractEmu peut effectuer après l’enracinement d’un appareil infecté vont de la surveillance des notifications, de la capture de captures d’écran et de l’enregistrement de l’écran au verrouillage de l’appareil et même à la réinitialisation du mot de passe de l’appareil.

Comment se protéger des malwares root ?

La meilleure défense contre les logiciels malveillants root est le bon sens. Pour que le malware vous attaque, vous devez télécharger et installer une application infectée. En tant que tel, reconnaître où les applications infectées ont tendance à se cacher est un grand pas vers la protection contre elles.

Les sites Web tiers sont les pires pour les logiciels malveillants. Il existe quelques sites Web et magasins d’applications que les gens trouvent dignes de confiance, mais en général, la majorité des sites Web ont une arrière-pensée ou ne disposent pas de la sécurité appropriée pour analyser les applications téléchargées.

En conséquence, essayez de vous en tenir aux canaux officiels si vous le pouvez. Si vous devez passer par un site d’applications tiers en raison de restrictions, assurez-vous de l’obtenir auprès d’une source fiable.

Toutefois, comme nous l’avons déjà dit, les magasins d’applications officiels ne sont pas à l’abri non plus. Heureusement, vous disposez d’une arme précieuse dans votre arsenal pour repérer les applications douteuses : ses statistiques.

Les logiciels malveillants présents sur les magasins d’applications officiels ne durent pas très longtemps. Par conséquent, si vous voulez rester en toute sécurité, recherchez des applications qui :

  • sont présentes sur la boutique d’applications depuis un certain temps
  • ont un nombre élevé de téléchargements. Ces applications sont beaucoup, beaucoup moins susceptibles de contenir des logiciels malveillants que les nouvelles applications ayant un faible nombre de téléchargements.

Ces applications utilisent généralement une sorte de stratagème pour obtenir des téléchargements aussi rapidement que possible. Elles peuvent se déguiser en une application bien connue ou se présenter comme une application indispensable pour les fans d’un nouveau film ou d’un nouveau jeu. Ne les téléchargez pas à l’aveuglette ; faites plutôt attention et assurez-vous de ne pas cribler votre téléphone de logiciels malveillants !

Et, bien sûr, il existe des solutions antivirus pour smartphones.

Comment supprimer une application malveillante qui root le système ?

Comme je l’ai mentionné précédemment, la réinitialisation d’usine de l’appareil ne va pas supprimer l’application malveillante.
La seule solution pour supprimer un logiciel malveillant root est de télécharger la ROM officielle et la réinstaller dans le système.
Cela va supprimer l’intégralité des applications et repartir sur un système d’exploitation sain.

Cela demande quelques compétences et n’est pas à la portée de tous les utilisateurs.