Un consensus d’experts en sécurité informatique met en garde les utilisateurs de smartphones Android contre une nouvelle souche de logiciels malveillants particulièrement redoutable et presque impossible à supprimer.
Le chercheur Igor Golovin de Kaspersky a écrit un billet de blog expliquant comment le malware xHelper utilise un système de programmes imbriqués les uns dans les autres, un peu comme une poupée russe, qui le rend incroyablement résistant. Même après plusieurs réinitialisations du téléphone mobile. xHelper a été découvert l'année dernière, mais ce n'est qu’aujourd’hui que Golovin a pu reproduire le processus d’insertion et de développement du malware.
- Cette fausse application Discord pourrait infecter votre PC
- Un nouveau ransomware bloque votre accès à Windows 10
- Le programme CovidLock verrouille votre smartphone
Bien que le Google Play Store soit relativement bien protégé, les magasins d'applications tierces non officiels sont beaucoup plus susceptibles d'héberger des programmes malveillants renfermant xHelper. Le service de filtrage d'applications Google Play Protect a bloqué plus de 1,9 million d'installations d'applications malveillantes en 2019, y compris celles issues de sources non officielles. Toutefois, il n'est pas infaillible.
xHelper est souvent distribué sous la forme d’une application de nettoyage ou de maintenance de votre appareil, vous promettant d’améliorer ses performances avec des avis utilisateurs exclusivement positifs. Difficile de se méfier, donc.
Peu d’espoir de récupération
Lorsque le malware est installé pour la première fois sur votre smartphone, il télécharge un cheval de Troie dit « dropper », qui collecte toutes les informations de l’appareil. Puis installe un second cheval de Troie. Ce dernier télécharge un code d'exploitation qui lui donne un accès à la racine de votre téléphone. Dès lors, il peut causer tout le chaos que ses créateurs jugent nécessaire.
Il est quasiment impossible d'éliminer l'infection. Tous ces téléchargements sont dissimulés au plus profond des fichiers système, ce qui les rend difficiles à localiser. D’autant que le malware utilise une boucle, installée dans la partition système, qui permet de répéter le processus de contamination après une réinitialisation.
Les experts de Kaspersky conseillent tout de même de procéder à ces réinitialisations, bien que sceptiques sur la récupération de l’appareil vérolé : « L'utilisation d'un smartphone infecté par xHelper est dangereuse. Le malware installe une porte dérobée avec la possibilité d'exécuter des commandes en tant que super-utilisateur. Il fournit aux pirates un accès complet à toutes les données systèmes et peut ouvrir un chemin à d'autres logiciels malveillants, par exemple CookieThief ».
