Programmes malveillants pour Android dans le courrier indésirable

A première vue, on pourrait croire que les messages malveillants détectés par Fireye utilisent d’anciennes astuces, mais les analyses réalisées par les experts indiquent que ces messages ne sont pas du tout envoyés dans le cadre d’attaques par téléchargement à la dérobée et qu’ils ne diffusent pas des programmes malveillants traditionnels pour ordinateur. Les organisateurs de cette diffusion ont souhaité propager de cette manière des programmes malveillants pour appareils mobiles, dont FakeDefender.

Cette campagne a été lancée au début du mois de septembre et elle exploite le nom du service postal des Etats-Unis. Le texte du faux message est le suivant : "USPS Notification: Courier couldn’t make the delivery of your parcel. Reason: Postal code contains an error" ("Notification de USPS : l’agent n’a pas pu remettre votre colis. Cause : erreur dans le code postal). Le destinataire du message malveillant était invité à "imprimer le lien" en cliquant sur le bouton du même nom.

D’après les  experts, ce lien, une fois activé, entraînait le téléchargement d’un fichier malveillant au format APK sur l’appareil de l’utilisateur. L’analyse des requêtes HTTP générées a permis d’identifier une vingtaine d’autres URL d’où des fichiers APK étaient également téléchargés. Certains d’entre eux portaient le nom LabelReader.apk.

FireEye souligne que ce programme malveillant n’est pas nouveau. L’apparition des premiers exemples remonte au début de cette année. A l’époque FakeDefender exigeait des utilisateurs un "paiement pour la suppression de menaces inexistantes sur leur appareil". Si la victime acceptait de payer la licence, son appareil mobile serait protégé contre l’installation de n’importe quel programme malveillant.

Une fois installé sur l’appareil, FakeDefender peut intercepter les appels et les SMS entrant et sortant. Dans certains cas, le programme malveillant utilise différents user-agent pour se dissimuler : il peut ressembler à un fichier .apk énigmatique, à une archive .zip portant un nom inoffensif comme Wedding_Invitation_Chicago (Invitation_Mariage_Chicago).

Android est en mesure d’empêcher l’installation de ce genre de faux antivirus, toutefois le canal de diffusion choisi par les individus malintentionnés pour cette plateforme est pour le moins inhabituel et ressemble plus à ce que l’on trouve dans le milieu des menaces pour Windows. Afin de ne pas télécharger des applications douteuses, les utilisateurs d’Android peuvent désactiver l’option "Autoriser l’installation d’applications non Market". Cette section des paramètres contient également une fonction d’analyse des applications qui empêche l’installation de programmes malveillants ou qui prévient l’utilisateur en cas d’installation indésirable.

Source: http://threatpost.com/email-spam-campaign-spreading-android-malware/102276

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *