Agent Smith : plus 25 millions de mobiles touchés


Agent Smith est un adware. Son but : remplacer des applications saines par des versions frauduleuses, programmées pour afficher des publicités. Si la menace Agent Smith semble aujourd’hui maîtrisée, elle n’est pourtant pas complètement écartée.

En effet, comme le montre l’analyse menée par l’éditeur de solutions de cybersécurité Check Point, la technique d’attaque utilisée demeure extrêmement sophistiquée. Reprise à des fins malveillantes, elle pourrait avoir des conséquences plus graves que l’affichage d’annonces promotionnelles. Décryptage de Philippe Rondel, Senior Security Architect chez Check Point.

Qui est Agent Smith ?

Dans la trilogie Matrix, l’une des répliques du premier opus de la saga est restée célèbre. Prononcée par le personnage Agent Smith – le bras armé de la matrice – elle se présente comme suit : « Vous [les humains, NDLR], vous installez quelque part, et vous vous multipliez, vous vous multipliez, jusqu’à ce que toutes vos ressources naturelles soient épuisées (…) Il y a d’autres organismes sur cette planète qui ont adopté cette méthode, vous savez lesquels ? Les virus ».

Ce n’est ainsi pas un hasard si le malware ayant touché plus de 25 millions d’appareils mobiles[1] a pris le nom d’Agent Smith. Référence à un classique de la science-fiction, Agent Smith est ainsi devenu le nom d’un « virus » informatique, logiciel malveillant capable de se propager à un rythme alarmant. Déguisé en application Google, téléchargeable sur l’app store 9Apps, ce malware exploite diverses vulnérabilités Android connues et remplace automatiquement les applications installées sur l’appareil par des versions frauduleuses.

Le but ? Générer des publicités, comme l’explique Philippe Rondel, Senior Security Architect chez Check Point : « Pour les créateurs d’applications gratuites, le seul moyen de toucher une rémunération reste la publicité. Cette activité est souvent confiée à des entreprises tierces. Nous pensons qu’une de ses sociétés de gestion des publicités est à l’origine d’Agent Smith ». Il s’agit donc d’un adware, un malware générateur d’annonces promotionnelles.

Check Point a enquêté pendant plusieurs mois avant de remonter l’information à Google. « L’investigation a été longue ; il nous a fallu analyser l’application sur les téléphones et son comportement, comprendre son fonctionnement, identifier tous les acteurs impliqués… En trois ans et demi, Agent Smith a pris la forme d’une soixantaine de versions différentes », raconte Philippe Rondel.

Jusqu’ici, les principales victimes sont situées en Inde, mais d’autres pays, comme le Pakistan et le Bangladesh, sont également touchés, de même qu’un nombre considérable d’appareils mobiles au Royaume-Uni, en Australie et aux États-Unis. « Nous n’avons trouvé aucun signe permettant d’affirmer qu’Agent Smith ciblait particulièrement l’Inde et l’Asie. Il s’agit en réalité d’un concours de circonstances. Les utilisateurs de 9Apps se situent principalement dans ces régions du monde », explique M. Rondel.

Comment fonctionne Agent Smith ?

Première étape : l'utilisateur télécharge l'application infectée « Agent Smith »

Dans la première phase d’attaque, le pirate incite les utilisateurs à télécharger une application malveillante à partir d’un app store comme 9Apps. Celles-ci sont généralement déguisées en jeux gratuits et en applications utilitaires ou de divertissement. Elles contiennent cependant une charge virale chiffrée, qui vérifie si des applications populaires, telles que WhatsApp par exemple, sont inscrites dans une liste prédéfinie par l’attaquant. Si c’est le cas, Agent Smith les attaquera dans une phase ultérieure.

Seconde étape : le logiciel malveillant infecte d’autres applications

Une fois le malware introduit au sein de l’appareil de la victime, celui-ci décrypte automatiquement la charge virale – un fichier APK (il s’agit d’un fichier d’installation Android) – qui constitue la principale cible de l’attaque d’Agent Smith.

Le malware abuse alors de plusieurs vulnérabilités connues du système pour installer le logiciel malveillant sans même que l’utilisateur n’interagisse.

Troisième étape : l'application infectée affiche des publicités

Au cours de la troisième phase d’attaque, le logiciel malveillant attaque toute application installée sur le périphérique figurant dans la liste prédéfinie par l’attaquant. L’adware extrait discrètement le fichier APK d’une application saine listée, puis, le récrit à l’aide de modules malveillants supplémentaires. Enfin, il exploite un ensemble de vulnérabilités du système pour remplacer en toute discrétion chaque application souhaitée par une version frauduleuse. L’affichage des publicités commence.

Agent Smith : quels risques pour vos données ?

Agent Smith peut infecter tous les smartphones mis à jour au-delà même de la version 7 d’Android. « Nous faisons face à une cyberattaque très professionnelle, qui a débuté il y a au moins trois ans et demi. Elle est techniquement très avancée, combine des vulnérabilités connues de manière très astucieuse. Si une action échoue, elle a toujours un back-up. Agent Smith est capable de se cacher dans un mobile et de remplacer des applications par d’autres, affichant ses propres publicités. Il peut aussi d’empêcher les mises à jour qui pourrait le rendre obsolète. C’est très impressionnant », analyse Philippe Rondel.

S’il est utilisé à des fins lucratives par le biais de publicités malveillantes, ce malware pourrait aussi facilement être exploité de manière plus intrusive et nuisible, pour voler des informations bancaires et réaliser des écoutes clandestines notamment. « Agent Smith n’a pour l’instant été utilisé que pour afficher des publicités. Nous n’avons constaté aucun cas de phishing. Il semblerait que l’acteur derrière l’attaque ne soit pas intéressé pour mener ce genre de campagnes malveillantes », analyse l’expert de Check Point, avant d’ajouter : « Nous le voyons systématiquement, les hackers s’inspirent du travail d’autres pirates. Le risque avec un outil aussi sophistiqué que celui-ci – proche du niveau de développement réalisé par un Etat – est que les processus d’attaque soient reproduits et/ou que les compétences soient rachetées », prévient l’expert.

Agent Smith : comment réagir en cas d’infection ?

Si vous pensez avoir été infecté par des applications telles que celles décrites, nous vous conseillons de suivre les étapes suivantes :

  1. Allez dans Paramètres
  2. Cliquez sur Applications ou Gestionnaire d’applications
  3. Faîtes défiler jusqu’à l’application suspectée et désinstallez-la

Si vous n’avez pas identifiée quelle application a été touchée, supprimez toutes les applications récemment installées.

Notes

[1]Check Point, 2019

A propos du blogueur

Diplômé en sciences de l’information, Philippe Rondel débute sa carrière en tant que consultant sécurité. Il rejoint Check Point en 1999, société spécialisée dans la cybersécurité dans laquelle il évolue encore aujourd’hui. Senior Security Achitect, il s’est notamment spécialisé dans les problématiques de cybersécurité concernant les pays du sud de l’Europe.