Infos

Un malware pour Android capable de charger des modules à la volée

SecurityWeek annonce la découverte d’un trojan pour Android qui exploite le cadre légitime DroidPlugin pour se mettre à jour et dissimuler l’activité malveillante.

Ce malware mobile, baptisé PluginPhantom par Palo Alto Networks, se spécialise dans le vol de données et est capable de voler des fichiers, les contacts de la victime, les données de localisation et les informations liées à l’utilisation du Wi-Fi. Il peut également prendre des photos, réaliser des captures d’écran, lancer des enregistrements audio, intercepter et envoyer des SMS et enregistrer les frappes au clavier.

PluginPhantom se distingue des autres trojans multifonction sous Android par son utilisation de DroidPlugin pour répartir les fonctions malveillantes entre plusieurs plug-ins alors que l’app hôte se comporte très bien. Le cadre de virtualisation DroidPlugin a été mis au point par la société de sécurité de l’information chinoise Qihoo 360 et d’après les explications de Bleeping Computer, il permet aux développeurs de créer des applications Android qui chargent en temps réel des plug-ins depuis des sources distantes ou locales. L’accord de l’utilisateur pour télécharger/installer ce genre de fichier APK n’est pas sollicité.

Cette solution permet d’alléger l’application au maximum et d’introduire la prise en charge de plusieurs comptes utilisateur, ce qui est particulièrement appréciable pour les applications dans les réseaux sociaux, sans oublier la possibilité de diffuser en temps réel « des correctifs à chaud » sans passer par Google Play Store. Ceci étant dit, c’est la première fois que des chercheurs sont confrontés à un malware qui exploite les possibilités de DroidPlugin et ils signalent que cette nouveauté complique fortement la détection statique.

A l’heure actuelle, PluginPhantom travaille avec neuf plug-ins qui sont intégrés à l’application hôte en tant que fichiers ressource. Trois d’entre eux réalisent des opérations de base comme la communication avec le serveur de commande, la mise à jour, le transfert des données volées, la communication des commandes aux autres modules malveillants. Les autres plug-ins réalisent les fonctions directement liées au vol des données :

  • la recherche des fichiers et l’organisation selon différents paramètres ;
  • l’extraction des données relatives à la position de l’appareil mobile ;
  • le vol du journal des appels, de l’ID de l’appareil, des contacts et l’interception des SMS et des appels en provenance de certains numéros ;
  • la prise de photo via la caméra intégrée et la réalisation de captures d’écran ;
  • l’enregistrement du bruit de fond sur commande et de tous les appels entrants ;
  • le vol des informations Wi-Fi (SSID, mot de passe, adresse IP, MAC), des données système et des informations relatives aux applications installées.

Les chercheurs ont également remarqué que l’application hôte elle-même est capable d’exécuter les fonctions d’enregistreur de frappes à l’aide des fonctions spéciales d’Android (Accessibility). Mais pour cela, elle doit obtenir des autorisations qu’il faut solliciter à l’utilisateur, pour un prétendu service de nettoyage de la mémoire.

Les experts de SecurityWeek ont déclaré dans leurs commentaires qu’ils n’avaient aucune raison de croire que PluginPhantom était présent sur Google Play mais qu’ils ne disposaient pas des informations sur ses modes de diffusion. Le spectre des cibles du malware n’a pas encore été défini, mais les données de géolocalisation récoltées par PluginPhantom sont associées au système de coordonnées géographiques adopté par les navigateurs Baidu Maps et Amap Maps, très utilisés en Chine.

Les représentants de Palo Alto concluent sur une mise en garde : d’autres auteurs de virus pourraient s’inspirer de ce nouveau malware pour Android et l’adoption de DroidPlugin comme méthode de dissimulation pourrait se répandre au point de détrôner les recompactages tant appréciés actuellement. Un reporter de Security Week cite un des chercheurs : « Dans la mesure où le modèle de développement des plug-ins est générique et que le SDK actuel peut être facilement intégré, les malwares Android dotés d’une architecture étendue pourraient devenir une tendance ».

Fonte: Securityweek

Un malware pour Android capable de charger des modules à la volée

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception