Démantèlement du réseau de zombies Coreflood Menaces sur la réputation
sept 20

Un parent de DroidDream

Des programmes malveillants ont une fois de plus été détectés à la fin du mois de mai sur Android Market, la boutique officielle d’applications sous Android. A l’instar de ce qui s’était produit au trimestre précédent, il s’agissait principalement de version recompactée d’applications légitimes auxquelles des modules de type cheval de Troie avaient été ajoutés. Au total, ce sont 34 paquets malveillants qui ont été identifiés. Le cheval de Troie ajouté au fichier d’installation était une nouvelle modification de notre ancienne connaissance DroidDream (Backdoor.AndroidOS.Rooter). Afin que le cheval de Troie puisse à nouveau se retrouver sur Android Market, les individus malintentionnés ont du légèrement modifier sa fonction. Le code d’exploitation qui permet au cheval de Troie d’obtenir les privilèges d’administrateur et qui facilitait la détection du paquet malveillant ne se trouvait plus quant à lui dans le fichier d’installation, mais il était téléchargé par le cheval de Troie sur le téléphone infecté.

Porte dérobée KunFu

La deuxième menace pour Android OS qui a connu un développement actif au deuxième trimestre est une porte dérobée détecté par les logiciels de Kaspersky Lab sous le nom de Backdoor.AndroidOS.KunFu. Ce cheval de Troie fonctionne de manière traditionnelle : il se connecte à un serveur dont le nom figure dans le corps du programme. Une fois installé, le cheval de Troie utilise le code d’exploitation connu  » Rage against the cage  » pour obtenir les privilèges d’administrateur. Le cheval de Troie récolte les informations relatives à l’appareil infecté et les envoie à l’individu malintentionné. Il reçoit ensuite des instructions du serveur. Ce programme malveillant peut installer, puis exécuter à l’insu de l’utilisateur des paquets d’applications ou accéder à des pages Web. Ce cheval de Troie se diffuse principalement par diverses boutiques d’applications non officielles. Il vise principalement les utilisateurs chinois. Les serveurs de commande sont également hébergés dans ce pays.

Il convient de signaler que l’auteur de ce cheval de Troie est très intéressé par sa survie et emploie toutes les techniques possibles pour éviter la détection par les logiciels antivirus. En trois mois, ce sont plus de 29 (!) modifications de ce programme malveillant qui ont été détectées. De plus, le code d’exploitation utilisé pour obtenir de plus grands privilèges est chiffré à l’aide d’un algorithme DES. Les dernières versions du cheval de Troie ont été fortement remaniées : la bibliothèque contenant la fonctionnalité principale a été traduite du code Java au code Native. L’auteur du programme voulait visiblement compliquer de la sorte l’analyse du code.

Statistiques menaçantes

A en croire nos statistiques, la croissance du nombre de menaces pour les diverses plateformes mobiles prend de la vitesse.


Nombre de signatures ajoutées pour les nouveaux programmes
malveillants sous diverses plateformes mobiles au T1 et T2 2011

Le nombre d’enregistrements qui détectent les programmes malveillants sous J2ME (programme malveillant pour téléphone portable et smartphone d’entrée de gamme) a doublé au cours du trimestre et le nombre de détections de programmes malveillants pour Android OS a presque triplé.

Le mode actuel selon lequel la majorité des chevaux de Troie pour appareil nomade gagne de l’argent repose sur l’envoi de SMS vers des numéros payants. L’argent est soit retiré du compte de l’utilisateur, soit le propriétaire du téléphone s’abonne sans le savoir à un service payant. Dans ce deuxième cas, plus répandu en Asie, l’utilisateur reçoit un SMS en provenance du service qui confirme l’inscription. Afin que le propriétaire du téléphone ne se doute de rien, ces chevaux de Troie suppriment le message de confirmation de l’inscription dès sa réception. Ainsi, les chevaux de Troie peuvent rester très longtemps sur un appareil et offrir à leur auteur un revenu constant.

Il est inquiétant de constater que les programmes malveillants pour les appareils nomades se propagent non seulement via diverses ressources appartenant à des tiers, mais également via les boutiques d’applications officielles. Il est évident qu’Android Market doit revoir sa politique de diffusion des applications. Mais pour l’instant, les propriétaires des boutiques, qu’elles soient officielles ou non, ne se pressent pas pour changer les règles, ce qui favorise les auteurs de virus. Dans ce contexte, le nombre de personnes désireuses de gagner de l’argent de manière illégale sur le compte des utilisateurs lambda va augmenter, avec un effet sur le nombre de menaces et leur qualité. Pour l’utilisateur lambda, la conclusion est simple : si vous n’avez pas encore installé un logiciel antivirus sur votre appareil nomade, faites-le. Dans le cas contraire, il est fort probable que vous ne serez pas l’unique utilisateur de votre téléphone.

Les commentaires sont fermés.