Si HummingBad ne vous dit pas grand-chose, c’est normal. Ses créateurs ne s’en vantent pas puisque ce malware (rootkit) leur rapporterait près de 300 000 dollars par mois. Voici quelques explications sur le fonctionnement de ce malware extrêmement vicieux.

Malware Alert

Crédit image : CyberHades

HummingBad, c’est le nom d’un malware en provenance de Chine qui est présent dans de plus en plus de téléphones. Ce malware n’est pas un inconnu puisqu’il a déjà été étudié de près par Check Point, une société spécialisée dans la cybersécurité, en février dernier. Son fonctionnement et son principe de diffusion n’a pas changé depuis le début de l’année, mais Check Point note qu’il est aujourd’hui présent sur de plus en plus de smartphones Android. Selon l’enquête de cette société israëlienne, HummingBad serait aujourd’hui présent sur près de 10 millions d’appareils Android. Et il aurait pour origine Yingmob, une agence de publicité chinoise en ligne.

 

Deux vecteurs d’attaque pour être sûr d’infecter le téléphone

Ce malware est intéressant à plus d’un titre. Si l’on en croit l’enquête mise en ligne par Check Point, tout commence par un fichier qui vient s’inviter sur le téléphone de l’utilisateur sans lui demander son avis par l’intermédiaire d’une page web corrompue (« drive-by download attack »), par exemple en allant sur des sites pour adultes peu regardants quant à leurs publicités. Ce fichier est difficilement détectable par les antivirus puisqu’il est chiffré de base.

C’est une fois en place que HummingBad devient réellement vicieux. Il dispose en effet de deux vecteurs d’attaques, l’un étant prévu dans le cas où l’autre ne fonctionnerait pas. Dans un premier temps, HummingBad va tenter d’accéder à des droits root du téléphone en utilisant des failles. S’il n’y parvient pas, il va alors lancer un deuxième processus d’attaque en émettant une fausse notification de mise à jour système. En la validant l’utilisateur va alors lui donner des droits et des accès privilégiés à différents points du téléphone. Pour les deux vecteurs d’attaque, le résultat est le même, HummingBad va afficher des campagnes de publicité issues de Yingmob et télécharger des fichiers .apk. Le malware va même jusqu’à modifier le numéro IMEI du téléphone pour améliorer le nombre d’affichage de publicité et d’installation d’applications.

hummingbad fonctionnemenbt

Le fonctionnement de Hummingbad.

Un malware créé par des pro de la publicité et très rentable

HummingBad est donc un malware très perfectionné, mais aussi très rentable. Selon l’enquête de Check Point, il permettrait d’afficher 20 millions de publicités par jour, d’installer 50 000 applications par jour et rapporterait près de 10 000 dollars par jour, soit environ 300 000 dollars par mois. Les principales victimes se trouvent essentiellement en Chine et en Inde, et très peu de pays européens sont touchés. Pire, de par sa capacité à attaquer le téléphone de l’utilisateur de deux façons différentes, il est capable de s’installer sur les principales versions d’Android, de Ice Cream Sandwich à Marshmallow.

20 pays hummingbad

Les 20 pays les plus touchés par HummingBad.

Si l’on en croit les représentants de Check Point, le seul moyen de savoir si son téléphone est contaminé est de télécharger un antivirus (Safe Zone de Check Point, mais aussi les antivirus d’AVG ou Avast) capable de le détecter.

 

Comment s’en protéger ?

Toujours selon Check Point, actuellement, le seul moyen sûr de le détruire est d’effectuer une restauration d’usine de son téléphone. Mais, répétons-le, pour l’instant, très peu de téléphones français sont touchés. A ce titre, on ne répètera jamais assez quelques conseils de base :

  • Ne cliquez jamais sur les fichiers téléchargés sur votre téléphone dont vous n’êtes pas certain de l’origine
  • Ne laissez jamais activé les « Sources Inconnues » dans les menu de Sécurité du téléphone
  • Evitez autant que possible les magasins d’application pirate qui sont quasi-systématiquement remplis d’applications vérolées
  • Vérifiez systématiquement les permissions des applications que vous installez sur votre téléphone. Non, une application de Wallpaper n’a aucune raison d’avoir accès à vos SMS.

Enfin, sachez que l’installation d’un antivirus sur un téléphone n’est pas forcément un gage de sécurité absolu. Il permet parfois de repérer plus rapidement de potentiels virus ou malware mais il ne protège jamais d’une mauvaise décision de l’utilisateur.