Hier, une société de sécurité a publié un rapport sur un malware Android inédit nommé Snowblind. Il abuserait d'une fonction de sécurité intégrée à Android pour éviter d'être détecté. Sa nouvelle technique rendait vulnérables tous les appareils et applications Android modernes. Cependant, Google réfute cette affirmation. Dans une déclaration à Android Headlines, le fabricant d'Android a déclaré qu'il était déjà au courant du malware et qu'il avait mis en œuvre des mesures de sécurité contre celui-ci.
Google Play Protect peut détecter et bloquer le malware Android Snowblind
Découvert par le fournisseur de sécurité des applications mobiles Promon, Snowblind est un nouveau malware bancaire Android qui manipule le système Android pour compromettre les applications sans détection. Il attaque l'outil de sécurité d'Android appelé « seccomp » (informatique sécurisée) pour contourner les contrôles de sécurité et exécuter furtivement des activités malveillantes. Les attaquants peuvent voler les identifiants de connexion et d’autres informations pour effectuer des transactions financières non autorisées sur des appareils infectés.
Promon a déclaré n’avoir jamais vu « seccomp être utilisé comme vecteur d’attaque auparavant », faisant de Snowblind le premier malware Android de son genre. La société a ajouté qu’elle ne s’attend pas à ce que de nombreuses applications disposent de protections contre cela. Le fournisseur de sécurité a encouragé ses clients et autres développeurs d'applications à passer à sa version Promon SHIELD 6.5.2 ou plus récente pour protéger leurs produits contre Snowblind et d'autres attaques de sécurité potentielles basées sur seccomp à l'avenir.
Peu de temps après avoir rendu compte de la découverte de Promon, Google nous a contacté pour dire qu'il était au courant de Snowblind et de ses techniques. « Nous pouvons confirmer que nous étions déjà au courant de ce malware avant ce rapport », a déclaré la société dans une déclaration envoyée par courrier électronique. Il n'a pas mentionné le nom du malware pour des raisons évidentes : Promon a donné le nom de Snowblind car il a été le premier à divulguer publiquement ce malware bancaire Android abusant d'une fonctionnalité du système.
« Sur la base de notre détection actuelle, aucune application contenant ce malware n'est trouvée sur Google Play », ajoute le communiqué officiel. « Les utilisateurs d'Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play.
Snowblind n’est peut-être pas aussi dangereux qu’il y paraissait à l’origine
Le rapport de Promon suggère que Snowblind est un malware dangereux et que la plupart des applications Android manquent de protection contre lui. Cependant, la déclaration de Google clarifie la menace. Tant que le malware existe, Google Play Protect bloque automatiquement ses activités, protégeant ainsi les utilisateurs d'Android de toutes les versions connues de Snowblind. Google Play Protect peut également détecter les comportements malveillants dans les applications installées en dehors du Play Store. Cependant, il est toujours plus sûr de télécharger uniquement des applications depuis les magasins officiels.
