Actualités

Play Store : quand 11 applications mobiles aspiraient des données-systèmes depuis des version antérieures à Android 11 ! (à désinstaller…)

Enquête de longue haleine que celle de AppCensus : dans un billet du 6 Avril 2022, les chercheurs dévoilent l’étendue avancée de Coelib Coulus, une librairie instillée dans le terminal-système vérolé depuis une vulnérabilité au sein de ARPSurvey… depuis, au moins, le 20 Octobre 2021.

 

 

Une structure de données (ndlr : array) appelée ARPSURVEY comprend des adresses MAC non seulement du routeur, mais également des autres périphériques du réseau domestique. Il est important de noter que cette application n’avait pas l’autorisation d’accéder à l’emplacement du périphérique: une autorisation requise pour accéder aux informations sur le routeur – et il doit donc y avoir une technique qu’ils utilisent pour contourner le système d’autorisation lorsqu’il est exécuté sur une version vulnérable d’Android. Le nom “ARP Enquête” suggère la réponse: les applications Lisent un cache local des adresses MAC et des adresses IP (par exemple, le cache ARP) qui n’a pas été correctement sécurisé. (Nous avions effectivement trouvé cette question il y a des années et il semble être d’abord fixé dans Android 11, mais les versions plus anciennes du système d’exploitation, telles que la version Android 9 que nous avons utilisée dans nos tests, restent vulnérables)“, tout en ajoutant le fait que “l’adresse MAC du routeur étant envoyée à l’application du routeur lui-même !“.

L’intrusion initiale se poursuit en analysant tout ce qui se trouve sous la coupe du routeur (sans autorisation aucune…), y compris les terminaux type IoT ou autre que le terminal initialement infecté. Du fait que le système mobile (Android) ne demande pas “une autorisation distincte” (cela n’est actuellement pas le cas) en réseau-Internet, l’ensemble étant traité universellement, en lot et pour x appareils donnés, toute intrusion tierce, malgré des outils tels que les pare-feu, peut s’établir.

 

Données ex-filtrées vers mobile.mesaurelib [.] com

 

Mails, contacts, numéros de téléphone, presse-papiers, GPS… tout ou presque y passe et transite en direction d’un site nommé measurelib [.] com (codifié dans le code CB). La transmission est chiffrée en base-64 sous clé JSON “Name”. Une ex-filtration assez variée qui peut permettre plusieurs usages dont, bien évidemment, le cyber-espionnage, est-il souligné. En addition de cette ex-filtration, s’ajoute des fonctionnalités, toujours à des fins de cyber-espionnage : les clics, les envois SMS ou les analyses font parti des constantes-terminal analysées. Ici, l’ensemble est envoyé vers mobile.measurelib [.] com.

 

Distillé dans 11 applications mobiles, ce SDK malicieux découle d’une librairie : nommée coelib.c. couluslibrary, après quelques recherches sommaires sur Google (!), il s’avère qu’un forum évoquant ladite librairie renvoyait à un lien-URL mettant en relation une entreprise située à Paname avec la mention “The Internet Measurement Authority“. A travers des offres de monétisation, le SDK était vendu aux développeurs intéressés avec, dans les arguments, un outil permettant d’obtenir “le plus haut CPMs” en rendement-donnée.

 

Noms de domaine découlant de Vostrom Holdings Inc. (Packet Forensics).

 

Les chercheurs ont assené le coup final en effectuant un simple WHOIS ; ce dernier ayant révélé une Holding du nom de Vostrom Holdings Inc., située aux Etats-Unis (Virginie) et également enregistrée sous Packet Forensics.

Côté utilisateur, voici les applications mobiles à désinstaller sans plus attendre :

 

  • Speed Camera Radar,
  • Al-Moazin Lite,
  • Wi-Fi Mouse,
  • QR & Barcode Scanner,
  • Qibla Compass – Ramadan 2022,
  • Simple Weather & Clock Widget,
  • Handcent Next SMS-Text with MMS,
  • Smart Kit 360,
  • Al Quran MP3 – 50 Reciters & Translation Audio,
  • Full Quran MP3 – 50 Languages & Translation Audio,
  • Audiosdroid Audio Studio DAW.

 

 

Vulnérabilité déclarée en Octobre 2021 par les chercheurs, ces applications intégrant ce SDK compromis ne sont plus dans le Google Play Store mais il est vivement conseillé de vérifier que ces dernières ne soient pas encore dans le smartphone, en cas de doute… A veiller !

 

 

 

Source :  blog AppCensus – 6 Avril 2022 – Coulus Coelib : une librairie exploitant une vulnérabilité de l’adresse MAC (routeur-réseau) pour distiller un spyware dans 11 applications mobiles Android.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6