Un malware pour Android capable de charger des modules à la volée

SecurityWeek annonce la découverte d’un trojan pour Android qui exploite le cadre légitime DroidPlugin pour se mettre à jour et dissimuler l’activité malveillante.

Ce malware mobile, baptisé PluginPhantom par Palo Alto Networks, se spécialise dans le vol de données et est capable de voler des fichiers, les contacts de la victime, les données de localisation et les informations liées à l’utilisation du Wi-Fi. Il peut également prendre des photos, réaliser des captures d’écran, lancer des enregistrements audio, intercepter et envoyer des SMS et enregistrer les frappes au clavier.

PluginPhantom se distingue des autres trojans multifonction sous Android par son utilisation de DroidPlugin pour répartir les fonctions malveillantes entre plusieurs plug-ins alors que l’app hôte se comporte très bien. Le cadre de virtualisation DroidPlugin a été mis au point par la société de sécurité de l’information chinoise Qihoo 360 et d’après les explications de Bleeping Computer, il permet aux développeurs de créer des applications Android qui chargent en temps réel des plug-ins depuis des sources distantes ou locales. L’accord de l’utilisateur pour télécharger/installer ce genre de fichier APK n’est pas sollicité.

Cette solution permet d’alléger l’application au maximum et d’introduire la prise en charge de plusieurs comptes utilisateur, ce qui est particulièrement appréciable pour les applications dans les réseaux sociaux, sans oublier la possibilité de diffuser en temps réel « des correctifs à chaud » sans passer par Google Play Store. Ceci étant dit, c’est la première fois que des chercheurs sont confrontés à un malware qui exploite les possibilités de DroidPlugin et ils signalent que cette nouveauté complique fortement la détection statique.

A l’heure actuelle, PluginPhantom travaille avec neuf plug-ins qui sont intégrés à l’application hôte en tant que fichiers ressource. Trois d’entre eux réalisent des opérations de base comme la communication avec le serveur de commande, la mise à jour, le transfert des données volées, la communication des commandes aux autres modules malveillants. Les autres plug-ins réalisent les fonctions directement liées au vol des données :

  • la recherche des fichiers et l’organisation selon différents paramètres ;
  • l’extraction des données relatives à la position de l’appareil mobile ;
  • le vol du journal des appels, de l’ID de l’appareil, des contacts et l’interception des SMS et des appels en provenance de certains numéros ;
  • la prise de photo via la caméra intégrée et la réalisation de captures d’écran ;
  • l’enregistrement du bruit de fond sur commande et de tous les appels entrants ;
  • le vol des informations Wi-Fi (SSID, mot de passe, adresse IP, MAC), des données système et des informations relatives aux applications installées.

Les chercheurs ont également remarqué que l’application hôte elle-même est capable d’exécuter les fonctions d’enregistreur de frappes à l’aide des fonctions spéciales d’Android (Accessibility). Mais pour cela, elle doit obtenir des autorisations qu’il faut solliciter à l’utilisateur, pour un prétendu service de nettoyage de la mémoire.

Les experts de SecurityWeek ont déclaré dans leurs commentaires qu’ils n’avaient aucune raison de croire que PluginPhantom était présent sur Google Play mais qu’ils ne disposaient pas des informations sur ses modes de diffusion. Le spectre des cibles du malware n’a pas encore été défini, mais les données de géolocalisation récoltées par PluginPhantom sont associées au système de coordonnées géographiques adopté par les navigateurs Baidu Maps et Amap Maps, très utilisés en Chine.

Les représentants de Palo Alto concluent sur une mise en garde : d’autres auteurs de virus pourraient s’inspirer de ce nouveau malware pour Android et l’adoption de DroidPlugin comme méthode de dissimulation pourrait se répandre au point de détrôner les recompactages tant appréciés actuellement. Un reporter de Security Week cite un des chercheurs : « Dans la mesure où le modèle de développement des plug-ins est générique et que le SDK actuel peut être facilement intégré, les malwares Android dotés d’une architecture étendue pourraient devenir une tendance ».

Fonte: Securityweek

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *