La société de sécurité Doctor Web a mis le doigt sur une infection d’ampleur. Elle touche des télévisions connectées et autres boitiers TV basés sur AOSP (Android Open Source Project).
Les chercheurs indiquent avoir découvert plus de 1,3 million d’appareils ainsi contaminés par un malware nommé Android.Vo1d, présent dans la zone de stockage. Tous ces appareils utilisent la version open source d’Android, donc non contrôlée par Google.
Cette infection s’est répandue dans 200 pays environ, mais apparemment pas en Europe ni en Amérique du Nord. 28 % des contaminations se sont produites au Brésil. La présence du malware est donc très large.
Il existe pourtant une inconnue de taille : Doctor Web a été incapable d’identifier le vecteur d’attaque. En clair, on ne sait pas comment tous ces appareils ont pu être contaminés par ce malware. Les versions d’Android utilisées vont de 7.1.2 à 12.1.
À chaque fois, on retrouve les mêmes signes sur tous les appareils, notamment une modification des fichiers install-recovery.sh et daemonsu, ainsi que la présence de quatre nouveaux fichiers, dont deux dans /system/xbin et deux dans /system/bin.
« Les auteurs du cheval de Troie ont probablement essayé de déguiser l’un de ses composants en programme système /system/bin/vold, en l’appelant par le nom similaire « vo1d » (en remplaçant la lettre minuscule « l » par le chiffre « 1 »). Le nom du programme malveillant provient du nom de ce fichier. De plus, cette orthographe est consonante avec le mot anglais « void » », écrivent les chercheurs.
Dans tous les cas, une fois Android.Vo1d en place, ses auteurs contrôlent l’appareil infecté. Le malware sert surtout à en télécharger d’autres, en fonction des objectifs poursuivis. Doctor Web, bien sûr, précise que son antivirus peut détecter et effacer l’intrus. Mais l’information sera complexe à diffuser auprès des personnes concernées.
Google a également réagi en précisant que les appareils étaient sous AOSP et ne disposaient donc pas du Play Store. En conséquence, le mécanisme de sécurité Play Protect n’était pas présent. Car si AOSP est bien supervisé par Google, le projet n’intègre aucun des composants propres à l’entreprise.