Trend Micro alerte au sujet de la découverte d'un nouveau malware pour Android baptisé Godless. Sa présence a été détectée dans des boutiques d'applications dont le Google Play Store. Quelque 850 000 appareils auraient été infectés dans le monde (voir illustration pour les pays principalement touchés) mais Godless est capable d'en infecter bien davantage.
Pour cause, les appareils fonctionnant avec Android 5.1 (Lollipop) et les versions antérieures sont vulnérables. Forcément, cela chiffre dans la mesure où le taux d'adoption d'Android 6.0 (Marsmallow) vient seulement d'atteindre les 10 %. De fait, près de 90 % des appareils Android sont des victimes potentielles.
Godless se dissimule dans une application et tire parti d'exploits pour tenter de rooter un appareil à l'insu de l'utilisateur, et ainsi obtenir des droits pour pouvoir installer divers nuisibles. De telles applications peuvent être des copies de jeux populaires, des utilitaires comme une application de lampe de poche.
Trend Micro a repéré dans le Google Play Store une application malveillante dénommée Summer Flashlight de Crazy WiFi Team. Avec quelques milliers d'installations au compteur (entre 1 000 et 5 000), cette application était encore présente en début de mois mais a été retirée depuis.
L'éditeur de solutions de sécurité explique que Godless est " une réminiscence d'un kit d'exploitation " qui utilise android-rooting-tools. Ce framework pour le rootage est disponible sur GitHub. Il dispose d'exploits pour plusieurs vulnérabilités relativement anciennes. Les deux principales sont identifiées en tant que CVE-2015-3636 et CVE-2014-3153.
Trend Micro précise avoir informé Google concernant les applications problématiques trouvées dans le Play Store. Le ménage a donc été fait.
