Infos

Google se débarrasse de l’adware sous Android Chamois

Google s’est débarrassé récemment d’un nouveau malware pour Android dans son magasin d’applications : plusieurs apps malveillantes capables de manipuler le trafic publicitaire, d’envoyer des messages SMS à des numéros surtaxés ou de télécharger des plug-ins complémentaires ont été retirés de la circulation.

Lundi, un billet publié sur le blog de Google racontait que son service de sécurité informatique avait détecté une application potentiellement dangereuse avant de l’expulser de Google Play et de garantir ainsi la sécurité des utilisateurs. D’après ce que racontent les auteurs du billet, les malwares de la famille Chamois ont été détectés lors d’interventions planifiées visant à évaluer la qualité du trafic publicitaire. Cette nouvelle famille malveillante est relativement vaste et se propage via les canaux les plus divers.

Lors des essais, Chamois affichait des images qui masquaient de la publicité contextuelle : si la victime s’intéresse et commence à cliquer, du trafic d’escroquerie est généré depuis son appareil. De plus, ce malware est capable d’augmenter le classement des apps en les installant automatiquement en arrière-plan, d’envoyer des SMS payants à l’insu de l’utilisateur et de charger et de lancer des plug-ins complémentaires.

D’après Google, il est peu probable que l’utilisateur remarque l’infection car les auteurs de Chamois ont veillé à ce que le nom de l’app n’apparaisse pas dans la liste des apps installées. Ce nouvel adware échappe également soigneusement à la détection à l’aide d’outils d’analyse : il exploite l’obfuscation, utilise un stockage spécial pour les fichiers de configuration chiffrés et des codes supplémentaires et il a adopté un mode d’infection complexe qui repose sur la substitution du format des fichiers.

Google se débarrasse de l'adware sous Android Chamois

« Ce processus en plusieurs étapes complique davantage l’identification des apps de cette famille en tant qu’app dangereuse car pour atteindre le contenu malveillant, il faut d’abord retirer toutes les couches supérieures » écrivent les chercheurs.

Chamois a pu être détruit à l’aide de Verify Apps, le scanneur antivirus de Google. Verify Apps surveille l’état de l’écosystème Android, à la recherche d’anomalies. Il prévient les utilisateurs en cas de chargement d’une app suspecte et contribue à la désinstallation de telles apps. Il est également capable d’identifier de nouvelles menaces sur les appareils à l’aide de l’analyse du comportement.

Google avait évoqué son système de détection et de classement des applications potentiellement dangereuses (DOI, Dead or Insecure) au début de cette année. Les apps Android sont évaluées en fonction de leur capacité à se maintenir sur l’appareil (retention rate). Si la valeur de ce paramètre dépasse une valeur seuil alors que d’autres indicateurs de la sécurité informatique évoquent des risques d’activité malveillante, un drapeau rouge est levé pour cette application. Au cours des dix derniers mois, Verify Apps a permis d’identifier et d’expulser plusieurs parents de Chamois dont Ghost Push, Gooligan et Hummingbad.

Le billet du blog consacré à Chamois indique que « nombreuses sont les apps contenant Chamois auxquelles le système DOI a attribué une note élevée ».

Google n’a communiqué aucune information sur le nombre d’infections impliquant le nouveau malware. Nous savons par exemple qu’HummingBad, cette application publicitaire capable d’utiliser un rootkit avait réussi en 18 mois à s’établir sur 10 millions d’appareils Android et à rapporter près de 300 000 USD à ses exploitants.

Source : Threatpost

Google se débarrasse de l’adware sous Android Chamois

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception