Infos

Google Play expulse un autre adware

Plus d’une douzaine d’apps ont été expulsées de Google Play après que des chercheurs ont découvert qu’il s’agissait de logiciels  légitimes recompilés et développés pour réaliser un affichage agressif de publicités sur les appareils Android des utilisateurs.

D’après Zscaler, ce nouvel adware malveillant tente de tromper l’utilisateur afin que celui-ci lui octroie les autorisations d’administrateur. Une fois qu’il a obtenu ces autorisations, l’adware commence à afficher des publicités sur l’ensemble de l’écran de l’appareil, à ouvrir des liens dans le navigateur, à lancer des vidéos Youtube, à ouvrir des apps installées et à générer des liens sur l’écran d’accueil.

Les apps potentiellement dangereuses qui figuraient sur Google Play contenaient plusieurs jeux, des éditeurs de photo, des lecteurs de QR Code et des boussoles électroniques. Quatre de ces apps ont été téléchargées entre 10 000 et 50 000 fois. Gaurav Shinde, expert sur les menaces pour Android, écrit dans le blog de Zscaler que « l’analyse initiale indique que ces apps ne possèdent pas de fonctions qui requièrent les autorisations d’administrateur sur l’appareil ».

Selon les propos de l’expert, la majorité des paquets d’app analysés par Zscaler contenait une version piratée d’une app légitime. Par exemple, un fichier APK portant le nom de paquet com.ndk.taskkiller contenait une version piratée des apps Battery Saver HD et Task Killer (pour économiser la batterie).

Le code malveillant intégré à cette copie permet à l’application malveillante de communiquer avec le centre de commande des attaquants. « Une fois installées, ces apps se connectent au serveur de commande indiqué dans les paramètres et exécutent les commandes qu’elles reçoivent » écrit Gaurav Shinde.

La première commande exécutée par l’adware est la demande des autorisations d’administrateur. Pour convaincre l’utilisateur de lui donner ces autorisations, le malware crée un faux menu de configuration Android et propose à l’utilisateur d’activer Plus Service. « Si l’utilisateur octroie les autorisations d’administrateur à l’app, celle-ci ne pourra être supprimée que quand ces autorisations auront été révoquées » explique Gaurav Shinde.

Pour déjouer les mesures de protection mises en place par Google Play, les individus malintentionnés ont inséré les paquets malveillants dans le paquet Android GMS original. Gaurav Shine explique que « l’emplacement du code malveillant requiert notre attention. Le paquet com.google.android.gms est un paquet original utilisé par Google Mobile Services (GMS). Dans le cas qui nous occupe, un paquet portant le nom logs afin de déjouer les outils de détection est introduit dans le paquet ».

Toutes les lignes du code malveillant sont obfusquées. « La technique de chiffrement adoptée est simple, mais elle est efficace. Après le déchiffrement de toutes les lignes du code, celui-ci a dévoilé l’ensemble de ses secrets. »

Ainsi, les experts ont découvert la possibilité de télécharger dynamiquement un fichier dex complémentaire contenant du code qui, une fois exécuté, lit des vidéos précises sur Youtube, afin de générer un revenu pour les auteurs de ces vidéos. La capacité de télécharger et d’activer des fichiers .dex permet à l’individu malintentionné d’exécuter un code aléatoire envoyé depuis le serveur de commande. Comme l’explique Deepen Desai, directeur des enquêtes et des opérations chez Zscaler : « Il est intéressant de constater que ce fichier dex n’est pas repris dans l’app d’origine, mais qu’il est téléchargé pendant l’exécution. Cela signifie que l’éditeur de l’app peut à tout moment modifier le code de secondlib.dex et qu’il sera exécuté sur l’appareil sans que l’utilisateur ne doive mettre à jour l’app. »

Parmi les fonctions malveillantes masquées, il y a également le mode d’attente pour le composant adware : il n’affiche aucune activité pendant une période de six heures après l’installation. D’après les experts, cette astuce permet à l’app malveillante d’éviter la détection via l’analyse VerifyApps sur Google Play. Le fait est que lors de l’analyse, VerifyApps lance l’app uniquement pendant quelques minutes afin d’analyser son comportement.

Le nouveau malware peut également recevoir des commandes d’affichage/de dissimulation de son icône depuis le serveur de commande, ce qui permet de confondre l’utilisateur. Le billet publié dans le blog de Zscaler précise que « l’icône de l’app est masquée si l’app n’a pas été utilisée pendant cinq jours. Dans la majorité des cas, cela suffit pour que l’utilisateur ne devine pas d’où viennent ces publicités énervantes ».

Google n’a pas répondu aux questions de Threatpost.

D’après Deepen Desai, les apps potentiellement dangereuses ont été supprimées de Google Play dans les 24 heures qui ont suivi l’apparition de la première d’entre elles. Ces apps n’ont été observées que dans le magasin Google, si l’on ignore les vidéos sur Youtube dont la promotion est assurée par le malware. « Nous avons découvert une vidéo Youtube pour le jeu Eight Note Jump, devenu populaire au cours du dernier mois. Dans la description de cette vidéo, l’auteur proposait un lien de téléchargement qui pointait vers une des apps malveillantes » explique Deepen Desai.

Source : Threatpost

Google Play expulse un autre adware

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception