Menu Fermer

Les virus sur Android : comment ils sont distribués

Les plateformes android, téléphone, tablette prennent de plus en plus le pas sur nos vieux ordinateurs pour surfer.
Le marché étant grandissant, les menaces informatiques suivent.
Ainsi de plus en plus de logiciels malveillants et virus visent les android.
C’est aussi une aubaine pour les éditeurs d’antivirus, qui voient pour eux un nouveau marché, là où celui des ordinateurs saturent.

Voici un article pour faire le point des antivirus sur Android et les logiciels malveillants.
Le but étant de comprendre comment les virus sur Android sont distribués.
Cela va vous permettre de conclure, si vous avez besoin ou non d’une protection.

Les virus sur Android

Introduction

Les plateformes Android ont dépassé les ordinateurs Windows en terme de présence sur internet.
Le marché Android est donc très porteur pour les cybercriminels qui visent de plus en plus cette plateforme.

Fonctionnement Android

Avant de commencer, il faut bien comprendre comment fonctionne le système d’exploitation Android.
Cela afin de bien comprendre ce qu’il ne faut pas faire.

Un utilisateur non root

L’utilisateur n’est pas administrateur (on appelle cela root sur Android).
Un utilisateur Android peut personnaliser beaucoup d’éléments, comme le fond d’écran, les menus, installer des applications, mais beaucoup de fonctionnalités du téléphone ne sont pas accessibles.
Par exemple, vous ne pouvez pas désinstaller les applications fournies par le constructeur ou l’opérateur téléphonique.

Le firmware et ROM

La ROM (Read Only-Memory) c’est ce qu’on peut aussi appeler le FIRMWARE.
C’est à dire le système Android dans sa totalité. 
Sur chaque modèle de téléphone Android est installée une version différente du système d’exploitation, appelée dans le jargon une ROM. Trois caractéristiques principales différencient les ROMs officielles:

  • Le numéro de version d’Android utilisé (1.6, 2.1, 2.2, 2.3, …).
  • Les modifications apportées à Android par le manufacturier (l’interface Sense de HTC, l’application DNLA de LG, le clavier Swype avec les Samsung Galaxy S, etc.).
  • Les modifications apportées au système d’exploitation par l’opérateur, comme l’ajout de certaines applications souvent plus ou moins intéressantes.

Lorsque l’on dispose des privilèges de super utilisateur, il est possible d’installer une ROM différente sur son téléphone. En plus des ROM «officielles», plusieurs utilisateurs de la communauté Android concoctent des ROMs non officielles avec différentes améliorations, la plus connue et la plus appréciée étant probablement Cyanogen, disponible pour une foule d’appareils.

Il faut donc distinguer deux types de menaces sur Android :

  • Celles qui s’installent au niveau utilisateur. L’utilisateur pourra désinstaller l’application sans trop de soucis. La difficulté ici est de trouver l’application malveillante. Une réinitialisation de l’appareil (téléphone ou tablette) permet aussi de se débarrasser de l’intrus.
  • Celles qui root le téléphone. C’est à dire modifie la ROM et se charge plus bas. Là, la réinitialisation peut ne pas supprimer le logiciel malveillant. A lire : Les malwares Android qui root le système : comment ça marche

Pour obtenir certains accès, les malwares se font passer pour des applications connues.
Par exemple ci-dessous Adoble Flash :

Les menaces informatiques sur Android

Quelques exemples de menaces qui existent ou ont existé visant Android. En réalité, vous verrez que ça ne vise pas particulièrement les mobiles, tablettes ou téléphone.
Bien souvent, il s’agit de portage de logiciels malveillants existant aussi sur les ordinateurs.

  • Les Adwares. Ces derniers chargent des publicités et ouvrent de notifications. Elles visent à faire gagner de l’argent à l’éditeur.
  • Les Trojan. En général, il s’agit de voler des accès à des comptes comme Paypal. Parfois aussi des numéros de SMS.
  • Des ransomwares soit Locker qui bloque l’appareil. Soit FileCoder qui chiffre les fichiers et données.

Google utilise le terme « Applications potentiellement nuisibles » (ou Potentially Harmful Applications en anglais) ou PHA en abrégé.

« Les PHA constituent un type de logiciel malveillant pouvant nuire aux personnes ou à leurs appareils – par exemple, les applications qui commettent des fraudes par messagerie texte, qui agissent comme des chevaux de Troie ou qui hameçonnent l’information des utilisateurs. Bien que peu nombreux, les PHA représentent une menace pour les utilisateurs d’Android et nous investissons beaucoup pour les garder hors du Play Store. »

Les Adwares reste la menace la plus important.
D’ailleurs souvent sur les forums ont voit des sujets de plaintes de pubs.
Ci-dessous une campagne de plusieurs millions de téléchargements réparties sur 205.
HiddenAd et donc Adwares est largement devant.

Les malwares sur Android
source thenextweb.com

Browlock et Locker

Browlock sur Android ou Apple iPhone : il s’agit de bloquer le navigateur WEB en se faisant passer pour les autorités.
Le but est de faire payer une fausse amende.
Browlock signifie Browser Locker, pour verrouillage du navigateur WEB.
Le blocage du navigateur WEB se fait à travers une boucle perpétuelle de popups, empêche la fermeture de l’onglet.
Il s’agit donc des logiciels malveillants Ransomware Trojan.Winlock : Virus Gendarmerie visant les navigateurs WEB.

Ces menaces ne visent pas exclusivement Android ou le mobile mais aussi les ordinateurs.
Ces méthodes de blocage du navigateur WEB sont aussi utilisées par les arnaques de support téléphonique.

A noter qu’il a toutefois existait par le passé, des ransomware locker qui bloquait entièrement le téléphone. La page suivante en parle : Virus gendarmerie sur Android ( Koler,Browlock, etc )

En 2018, EST a publié un article concernant ces ransomwares : Android Ransomware : DoubleLocker

Faux message de virus

Un autre type d’arnaque sont les faux messages de virus, ces derniers vous font croire que votre téléphone ou tablette est infectée.
le but est ensuite de vous faire installer un logiciel de nettoyage ou un antivirus bidon.
En général, vous êtes redirigé vers le Google Play.
Ces faux messages sont distribuées par des régies publicitaires, donc vous êtes susceptibles de les avoir sur n’importe quel site ou depuis des applications installées chargeant des pubs.

La page suivante récapitule quelques messages : Fausses pages web et messages de virus téléphones/tablettes
Là aussi, ces méthodes existent aussi sur les ordinateurs.
Lire le dossier Arnaque : fausse alerte de virus

Fausse alerte de virus sur Android

Il existe des déclinaisons avec des erreurs de batteries ou des messages de mise à jour Android à effectuer.

Faux message de mise à jour Android

Adwares

Les adwares ou logiciels publicitaires existent aussi sur Android.
Le but est de charger des publicités sur le smartphone ou tablette et ainsi gagner de l’argent.
Les adwares sont dissimulés dans des applications sur le Google Play.

Ces derniers peuvent être virulents.
Ainsi XHelper est un adware qui affiche des publicités mais presque impossible à supprimer de votre téléphone Android.
En 6 mois, fin 2019, il a pu infecter 45 000 appareils : Xhelper: Persistent Android Dropper App Infects 45K Devices in Past 6 Months

A lire notre dossier : Adwares sur Android

Trojans

Enfin les Trojans, on distingue quelques types de Trojan.

Trojan Clicker, ce dernier se connecte à des sites et chargent des pubs en simulant des clics utilisateurs.
Ce chargement se fait en fond et est invisible pour l’utilisateur.
Le but est de gagner de l’argent, exemple sur cette actualité : Trojan Clicker sur mobiles Android via Google Play

Par exemple, pour masquer ses activités malicieuses et rendre sa détection plus difficile par Google, ce trojan sommeil durant 6 heures après l’installation.
A son réveil, le trojan simule des cliques pour laisser croire à la présence d’un véritable utilisateur et charge des publicités qui affichent de faux messages de sécurité dans le but d’installer des applications payantes.

Trojan.Android.Torec – email malicieux : Ce Trojan diffusé par des MMS malicieux, envoie des SMS à des numéros surtaxés.
Les Trojan visant les téléphones peuvent récupérer le carnet d’adresses, appeler des numéros ou envoyer des SMS.

Enfin, tout comme sur ordinateur, les Trojans Banker spécialisés dans le vol de comptes bancaires.
Exemple avec Trojan-Banker.AndroidOS.Acecard : Un trojan évolué.
Celui-ci trompe l’internaute avec des formulaires Paypal, Gmail et autres.
L’utilisateur saisie ses informations de connexions qui seront récupérées par le cybercriminels.
Même chose avec des popups de paiement de carte de crédits :

Bref, comme sur PC, on tente de leurrer l’utilisateur en affichant des messages contrôlés par le pirate.

Les ransomwares

Bien entendu, Android au aussi eu droit à ses ransomwares qui chiffrent les données.

Mais contrairement aux PC, les téléphones ne renferment pas beaucoup de données.
Ainsi ces menaces sont assez limitées.

Les méthodes distribution des virus sur Android

Comment les virus Android sont diffusés ?

Les sources inconnues

Le système Android est plus fermé que le système d’exploitation Windows puisque vous devez en théorie installer que des applications provenant du Google Play.
Ainsi, cela limite grandement les choses, puisqu’il est, par défaut, interdit d’installer des programmes provenant d’internet.
Pour installer un fichier APK, vous devez désactiver dans les paramètres, les applications non sûres.

Cela limite :

  • les programmes provenant de sites d’hébergement (megasync, uptobox, 1fichier.com etc), les cracks et autres, qui sont légions sur ordinateur.
  • Les Web Exploits puisqu’il faut passer cette barrière d’interdiction d’exécution de fichier .APK

Google Play et les applications malveillantes

Pour toucher des internautes, les cybercriminels attaquent Google Play et tentent de diffuser des applications vérolées.
Google a mis en place divers mécanismes de protection, dont des vérifications de code pour détecter ces applications malicieuses.

Mais les cybercriminels jouent au jeu du chat à la souris pour les contourner.
Ainsi, parfois, les applications installées attendent plusieurs dizaines minutes après l’installation pour afficher des messages réclamant d’installer la partie active.

L’adware Android/Hiddad.BZ obligeait les utilisateurs à mettre 5 étoiles sur les applications piégées du Google Play.

En 2018, Google dit avoir supprimé 700 000 applications.

Le SMSphing

La seconde méthode reste les SMS et MMS avec des liens WEB malveillants.

Un fichier .APK est alors proposé.
Les utilisateurs qui installent un peu tout et n’importe quoi infecteront leurs appareils.
Exemple : : Trojan Android diffusé par des SMS de faux colis et Android.Trojan.Marcher.A : Fausse campagne Chronopost

Ne jamais installez un fichier .apk proposé sur internet

Téléchargement malveillant

Une autre méthode consiste à utiliser des sites internet piratés ou des malvertising afin de tromper les internautes.
Ainsi durant le surf des messages de téléchargent Adobe Flash s’affiche.
Si l’utilisateur accepte et ouvre le package, il installe le malware.
Ici Adobe Flash est un exemple.

Toutefois, cette méthode ne sait pas plus déveloper.
En effet, Google protège plutôt bien son OS des sources inconnues.

Comment protéger son téléphone portable des virus

Seront donc plus touchées les utilisateurs qui ont tendance à télécharger et installer des applications, jeux etc.
Comme sur Windows, plus vous installez d’applications et programmes, vous avez de chance d’avoir des problèmes à l’arrivé.
Ceux qui surf de temps à autre et font attention n’auront pas de problèmes.

Côté Google Play :

  • N’installez que des applications qui ont été installées par des dizaines de milliers d’internautes.
  • Évitez d’installer les applications qui ont moins de 6 mois.

L’installation d’un antivirus est surtout pour les utilisateurs qui ont tendance à installer beaucoup de choses.
Pensez cependant que ces antivirus sont relativement neufs donc ils peuvent causer des ralentissements et problèmes.
Comme sur Windows, ils ont aussi leurs limites.
Delon la capacité que l’éditeur a à capter les menaces existanteset cela inclut un coût financier.

Enfin concernant les pages d’arnaques, les antivirus seront probablement peu efficaces.
Les visites de sites de streaming illégaux en sont les premiers vecteurs : les virus sur les sites de streaming.

Enfin et surtout, suivez les conseils de ce guide complet :

La sécurité sur tablette et téléphone Android

Les antivirus pour Android

Voici une liste des principaux antivirus pour Android.

On retrouve les éditeurs habituels :

et des éditeurs spécifiques Android comme :