Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Android : découverte d'un Trojan d'écoute téléphonique
Qui enregistre les conversations et les transmet à des serveurs distants

Le , par Hinault Romaric, Responsable .NET
Mise à jour du 14 septembre 2011 par Idelways

Les concepteurs du célèbre trojan SpyEye, dédié à la cybercriminalité bancaire, étendent ses activités aux smartphones sous Android, où une variante baptisée SPITMO intercepte les SMS que de nombreuses institutions financières utilisent comme une mesure antifraude.

La firme de sécurité américaine Trusteer estime sur son blog qu'il s'agit là du premier malware Android à se propager sans l'aide du Market de Google ni des boutiques applicatives parallèles.

SPITMO nécessite plus précisément que l'ordinateur de sa victime soit infecté avec la version Desktop de SpyEye.
Cette dernière corrompt le navigateur pour incruster subtilement sur le site de la banque de l'utilisateur, un message suggérant l'installation d'un paquet Android qui assurera la sécurité de son service bancaire mobile.

À partir du moment où l'utilisateur gobe la supercherie et installe manuellement le malware en question, suivant des instructions précises, tous les SMS qu'il reçoit sont continuellement interceptés et envoyés à l’un des centres de contrôle et de commande des attaquants via de simples requêtes GET.

Mais avant une dernière étape est nécessaire pour réussir « leur coup », composer un numéro (325000) afin d'obtenir un code d'activation. Dès lors, les attaquants pourront retirer des fonds ou effectuer des transferts en ligne.

Le malware s'installe sous les appareils en tant que processus appelé « System », invisible sur le dashboard et sur la liste des applications ouvertes (il n’agit ni en tant qu’application, ni en tant que service).

Les chercheurs de Trusteer menés par Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.

Il n'en reste pas moins qu’il s'agit là d'une parade inquiétante contre les mesures de sécurité antienregistreurs de frappe (Keyloggers), qui renouvellent les codes d'accès après chaque utilisation, et les communiquent à l'utilisateur par SMS.

Pour mémoire, SpyEye a fait ses débuts sur les forums underground russes fin 2009, et il n'a pas cessé depuis de soulever les craintes des firmes en sécurité pour sa sophistication qui lui permet d'agir en tant qu'anti-ZeuS (un trojan bancaire concurrent) pour ne point partager le pactole de ses victimes !

Pour plus d'informations sur les autres menaces qui pèsent sur Android, lire notre dossier ci-avant.

Source : Trusteer

Android : un nouveau Trojan enregistre les conversations téléphoniques
Sur la carte mémoire des smartphones et les transmet à des serveurs distants

Mise à jour du 2 août 2011 par Idelways

En l'absence de mesures sérieuses pour freiner ce fléau, les menaces de sécurité sur Android se multiplient et gagnent en audace et dangerosité.

Un nouveau Trojan démasqué ne se contente pas de lister les appels entrants et sortants et leur durée, mais pousser le vice jusqu'à enregistrer les conversations passées via les smartphones compromis et les stocke au format « ARM » dans la carte mémoire SD de l'appareil.

Ces conversations ainsi collectées peuvent être rapatriées au choix par les hackers qui contrôlent le serveur relié au Trojan, à en croire les tests réalisés en environnement fermé par les chercheurs en sécurité de CA Technologies, à l'origine de cette découverte.

« Une fois le malware installé sur l'appareil victime, il y place un fichier [XML] de configuration qui contient des informations clés sur le serveur distant et les paramétrages [du Trojan] », explique le chercheur Dinesh Venkatesan.

Ce cheval de Troie encore non baptisé n'a pas les capacités de s'installer automatiquement ou d'obtenir des autorisations subrepticement. Ses victimes doivent valider l'installation de l'application infectée et lui accorder les droits nécessaires pour l'enregistrement audio, l'accès au statut de la fonction téléphone et le droit d'empêcher le téléphone d'entrer en mode veille.



Ce Trojan peu discret pourrait n'être en fait qu'un prototype, il lui manque en effet une bonne couverture pour tromper la vigilance des utilisateurs (comme se faire passer pour un jeu vidéo populaire).

Il est en tout cas amplement suffisant à l’état actuel au service des époux suspicieux et les employeurs et associés crapuleux.
Dans ces deux cas, être vigilant au moment d'installer une application et lui octroyer les autorisations, risque de ne pas être d'un grand secours. Mais il s’agit d’un conseil que l'on ne répétera jamais assez.

Source : CA

HippoSMS : nouvelle menace sur les smartphones sous Android
Ce malware envoie des SMS surtaxés et dissimule soigneusement ses dégâts

Mise à jour du 12/07/2011 par Idelways

Les pirates continuent d'investir l'Android et de nouveaux malwares viennent d’y être découverts par deux groupes de chercheurs distincts.

Bannis de l'Android Market après y avoir été téléchargés des milliers de fois, quatre des nouveaux malwares sévissent toujours sur une variante chinoise non autorisée de la boutique applicative de Google.

Ces applications démasquées par Lookout Security sont encore une fois infectées par une variante du Trojan DroidDream Light. Ce dernier a envahi le Market à trois reprises cette année (lire ci-devant pour en savoir davantage).

Cette variante se lance après l'installation des applications sans l'intervention de l'utilisateur, souligne Lookout, elle invite l'utilisateur à installer d'autres applications et serait même en mesure de les télécharger automatiquement.

De leurs côtés, des chercheurs de l'université de Caroline du Nord ont découvert un nouveau logiciel malveillant qui force les smartphones sous Android à envoyer des textos surtaxés aux dépens du forfait des victimes.

Menée par le professeur Xuxian Jiang, cette équipe d'universitaires, qui n'en est d'ailleurs pas à sa première découverte, tire la sonnette d'alarme à propos de "HippoSMS", une application qui se répand uniquement sur le fameux Android Market chinois.

Cette application ne se contente pas de voler le crédit de l'utilisateur, mais opère en toute discrétion en supprimant toutes les notifications envoyées par les opérateurs et les messages de consultation de sa facture téléphonique, dissimulant ainsi les dépenses qu'elle inflige à l'utilisateur.

Les deux équipes de recherche en sécurité recommandent pour la énième fois d'examiner soigneusement les autorisations accordées aux applications au moment de l’installation.

Et on ne le répètera jamais assez !

Source : Lookout,

Dix nouveaux malwares Android supprimés du Market
Ces logiciels malveillants embarquent le spyware Plankton, et s'acharnent sur le jeu Angry Birds

Mise à jour du 13/06/2011 par Idelways

Dix applications malveillantes viennent d'être virées de l'Android Market de Google où les malwares deviennent une menace sérieuse et récurrente.

Profitant de son succès planétaire, ces dix applications se font passer pour des extensions du célèbre jeu Angry Birds créé par le studio de développement finlandais Rovio.

Nombre de ces applications embarquent le logiciel espion Plankton, conçu pour se connecter régulièrement à des serveurs distants afin d’y transférer des informations confidentielles de l'utilisateur, comme le numéro IMEI de l’appareil, l'historique de navigation, les marque-pages et la page de démarrage du navigateur embarqué par défaut dans l'OS.

Cette nouvelle menace qui pèse sur l'écosystème d'Android a été découverte par Xuxian Jiang, professeur adjoint au département des sciences informatique de l'université de Caroline du Nord.

D'après les recherches de l'équipe de Xuxian Jiang, Plankton ne cherche pas à obtenir le droit d'accès root. Il est plutôt conçu pour espionner l'utilisateur furtivement, tout en ayant la capacité d'étendre dynamiquement ses propres fonctionnalités de nuisance.

Les fausses applications qui l'embarquent promettent toute d'étendre les fonctionnalités du jeu populaire, en débloquant des niveaux, ajoutant le support multijoueur ou en trichant sur les scores.

Évidemment, aucune de ces promesses n'est tenue à l'installation des applications, qui ne fait qu'y placer subrepticement des fonctions d'accès et de prise de contrôle à distance des appareils, à l'usage de son créateur à l'identité encore mystérieuse.

Le bilan des applications supprimées en juin 2011 s'élève désormais à 34 malwares après les 24 éradiquées en ce début de mois (lire ci-avant).

De nombreuses autres menaces se cachent certainement parmi les centaines de milliers d'applications qui occupent le catalogue d'application, volontairement ouvert.

Google va-t-il enfin revoir son processus de validation par certains jugé laxiste ? Certainement pas avant que le nombre d'applications Android dépasse celui de l’App Store.

Les utilisateurs, quant à eux, n'ont qu'à se munir de bon sens avant toute décision d’installer une application...

Source : site du Pr Xuxian Jiang

Et vous ?

Le nombre très élevé de malwares détectés et supprimés va-t-il provoquer un changement
Quelles mesures pourrait prendre Google d'après vous pour limiter l'intrusion des malwares tout en gardant ouverte sa galerie d'applications ?

Android Market : Google supprime 24 applications infectées par un malware
120 000 utilisateurs touchés

Google vient de supprimer 24 applications de l'Android Market qui contenaient du code malicieux.

Cette opération a été effectuée suite à la découverte de chercheurs en sécurité. L'installation de ces applications entraînait le transfert de données des utilisateurs vers des serveurs distants.

Selon Lookout, la société qui emploie ces chercheurs, plus de 120 000 utilisateurs des terminaux sous Android auraient téléchargé ces applications avant qu'elles ne soient détectées.

Lookout a identifié les logiciels malveillants après le message d'un développeur qui annonçait que des versions modifiées de ses applications et des applications d'un autre programmeur étaient distribuées sur l'Android Market.

Le malware aurait été créé par les mêmes auteurs que ceux qui avaient lancé en mars dernier DroidDream, une forme de cheval de Troie. Google avait alors supprimé une cinquantaine d'applications de l'Android Market et lancé un outil de surpression à distance pour les smartphones ayant la fonctionnalité Kill Switch activée.

Ce nouveau malware serait donc une version allégée de DroidDream. Baptisé Droid Dream Light par Lookout. Il collecte des informations comme les identifiants IMEI (International Mobile Equipment Identity), IMSI (International Mobile Subscriber Identifier) et des détails sur les applications installées.

La liste des applications infectées est disponible sur le site de Lookout, qui conseille de les désinstaller et d'effectuer un scan de sécurité sur les appareils touchés.

Une nouvelle affaire qui pose la question de la validation et de la vérification des applications sur l'Android Market, une galerie volontairement très ouverte pour faciliter les processus de publications.

Source : Lookout

Et vous ?

Que pensez-vous de la sécurité sur l'Android Market ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé http://www.developpez.com
le 03/08/2011 à 8:21
Quelle différence avec ce que font certains organismes gouvernementaux ?
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 03/08/2011 à 9:35
Citation Envoyé par transgohan  Voir le message
Quelle différence avec ce que font certains organismes gouvernementaux ?

bah les gouvernements c'est TOI qui les mets au pouvoir, non ? =)
Avatar de shkyo shkyo - Membre expérimenté http://www.developpez.com
le 03/08/2011 à 11:36
Comme d'habitude et pour la 150000ème fois, toujours réfléchir à deux fois avant d'autoriser l'installation d'un programme sur son smartphone... Et c'est valable pour tous les supports utilisant Internet!!

Les smartphones étant de plus en plus puissants avec des OS de plus en plus complets, ce genre de saletés vont forcément se multiplier!! Et pas que sur Android, tout les autres y auront droit aussi... Pas de jaloux dans le monde des "saletés-ware"!
Avatar de kdmbella kdmbella - Expert éminent http://www.developpez.com
le 03/08/2011 à 11:39
Citation Envoyé par kaymak  Voir le message
bah les gouvernements c'est TOI qui les mets au pouvoir, non ? =)

j'ajouterai en plus que c'est égalemment toi qui peut les mettre out du pouvoir
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 03/08/2011 à 12:38
Citation Envoyé par shkyo  Voir le message
Comme d'habitude et pour la 150000ème fois, toujours réfléchir à deux fois avant d'autoriser l'installation d'un programme sur son smartphone...

Oui, mais preuve est faite que les gens ne réfléchissent pas.

Donc, il faut réfléchir à leur place, du tout moins leur montrer une voie toute tracé qui est saine.
Avatar de transgohan transgohan - Expert confirmé http://www.developpez.com
le 03/08/2011 à 13:46
Citation Envoyé par kaymak  Voir le message
bah les gouvernements c'est TOI qui les mets au pouvoir, non ? =)

Ah bon ? Je parle pas de gouvernement mais d'agence.
Depuis quand aux USA (par exemple) le directeur de la NSA, du FBI, et compagnie sont élus par le peuple ?
Et en cas de changement de gouvernement cela ne leur change pas forcement leur structure non plus.
Avatar de kaymak kaymak - Membre chevronné http://www.developpez.com
le 03/08/2011 à 14:09
<hs>
Depuis quand aux USA (par exemple) le directeur de la NSA, du FBI, et compagnie sont élus par le peuple ?

Indirectement.

CIA :
http://www.lexpress.fr/actualites/2/...45.html?actu=1

NSA :
Je ne sais pas... Je n'arrives pas à trouver d'infos la dessus. No Such Agency power....

FIB :
Né d'une initiative de la cour suprême, un outil citoyen par excellence.
http://www.spyworld-actu.com/spip.php?article14810
La loi américaine prévoit des mandats de 10 ans pour les directeurs du FBI qui doivent être confirmés par le Sénat.

M. Mueller a été nommé par le président George W. Bush en 2001 et... patati patata

Oui on peut toujours joué sur les mots comme tu veux le faire.
Mais ces agences gouvernementales, ne sont pas là où elles sont par hasard, et encore moins contre la volonté des élus.
</hs>

Sinon oui, j'avais mal lu ta phrase, mais au final c'est du pareil au même.
Avatar de Refuznik Refuznik - Membre régulier http://www.developpez.com
le 05/08/2011 à 13:42
Ca sent les vacances, il n'y a pas beaucoup d'infos de dispos. mais il faut continuer à faire tourner la boutique.

Cette api est déja commercialiser depuis des années sous Iphone et win. Et je m'étonne qu'elle n'ai pas été dispos aussi rapidement sous android (du genre écouter ce que disent ou jouer un tour à vos amis/partenaire/etc...).
Avatar de Idelways Idelways - Expert éminent sénior http://www.developpez.com
le 14/09/2011 à 21:43
Android dans le collimateur du malware SpyEye
SPITMO détourne les codes d'accès bancaires envoyés par SMS

Mise à jour du 14 septembre 2011 par Idelways

Les concepteurs du célèbre trojan SpyEye, dédié à la cybercriminalité bancaire, étendent ses activités aux smartphones sous Android, où une variante baptisée SPITMO intercepte les SMS que de nombreuses institutions financières utilisent comme une mesure antifraude.

La firme de sécurité américaine Trusteer estime sur son blog qu'il s'agisse là du premier malware Android à se propager sans l'aide du Market de Google ni des boutiques applicatives parallèles.

SPITMO nécessite plus précisément que l'ordinateur de sa victime soit infecté avec la version Desktop de SpyEye.
Cette dernière corrompt le navigateur pour incruster subtilement sur le site de la banque de l'utilisateur, un message suggérant l'installation d'un paquet Android qui assurera la sécurité de son service bancaire mobile.

À partir du moment que l'utilisateur gobe la supercherie et installe manuellement le malware en question, suivant des instructions précises, tous les SMS qu'il reçoit sont continuellement interceptés et envoyés à l’un des centres de contrôle et de commande des attaquants via de simples requêtes GET.

Mais avant une dernière étape est nécessaire pour réussir « leur coup », composer un numéro (325000) afin d'obtenir un code d'activation. Dès lors, les attaquants pourront retirer des fonds ou effectuer des transferts en ligne.

Le malware s'installe sous les appareils en tant que processus appelé « System », invisible sur le dashboard et sur la liste des applications ouvertes (il n’agit ni en tant qu’application, ni en tant que service).

Les chercheurs de Trusteer menés Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.

Il n'en reste pas moins qu’il s'agit là d'une parade inquiétante contre les mesures de sécurité antienregistreurs de frappe (Keyloggers), qui renouvellent les codes d'accès après chaque utilisation, et les communiquent à l'utilisateur par SMS.

Pour mémoire, SpyEye a fait ses débuts sur les forums underground russes fin 2009, et il n'a pas cessé depuis de soulever les craintes des firmes en sécurité pour sa sophistication qui lui permet jusqu'à agir en tant qu'anti-ZeuS (un trojan bancaire concurrent) pour ne point partager le pactole de ses victimes !

Pour plus d'informations sur les autres menaces de sécurité qui pèsent sur Android, lire notre dossier ci-avant.

Source : Trusteer
Avatar de Flaburgan Flaburgan - Modérateur http://www.developpez.com
le 15/09/2011 à 10:09
Citation Envoyé par Hinault Romaric  Voir le message
Les chercheurs de Trusteer menés Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.

C'est toujours ce qui m'a étonné dans ce genre d'attaques : il faut que le processus corrompus communique avec le serveur. Si on est capable de bloquer cette communication, le virus est inoffensif. Donc il suffit de se poser la question "comment le virus communique-t-il avec le serveur ?" en creusant un peu on tombe sur "comment est-il capable de le localiser ?" (est-ce écrit en dur ? si non, comment acquière-t-il l'information ?). Il est ensuite relativement facile de copier la technique du processus pour récupérer nous aussi l'adresse du serveur, puis de le fermer. Et voilà !
Avatar de Freem Freem - Membre émérite http://www.developpez.com
le 15/09/2011 à 16:22
Ne serait-ce pas une utilisation intéressante des réseaux de type TOR? (http://fr.wikipedia.org/wiki/Tor_(réseau))

Qui a justement la propriété de rendre difficile (pas impossible, certes) le suivi d'un échange...

Et puis, il nous suffit de regarder autour de nous. On est informaticiens, et on comprend un certain nombre de choses que des gens qui n'ont pas les même centres d'intérêt que nous n'imaginent même pas.
Qui n'a jamais dû dépanner une machine victime d'une quantité phénoménale de spamware, spyware et autres?

Ce truc n'est pas destiné a attaquer les geek, qui savent ce qu'est le phishing (et qui sont capable de détecter les traces de malwares juste a cause du ralentissement de leur bécanne, voire même de les enlever à la main s'il est mauvais). Mais les gens "normaux" pour qui il est logique d'installer un logiciel si un autre leur dit que c'est nécessaire pour leur sécurité.
Offres d'emploi IT
Développeur web et mobile
Pba - Lorraine - Nancy (54100)
Software engineer Scala
Viadeo - Ile de France - Paris (75009)
Administration d'un parc de serveurs h/f
Atos - Rhône Alpes - Grenoble (38000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil