Une famille de trois chevaux de Troie infecte les processus système d'Android
Après avoir obtenu les privilèges utilisateur

Le , par Olivier Famien, Chroniqueur Actualités
L’entreprise de sécurité informatique Dr Web vient de détecter un ensemble de chevaux de Troie opérant sur la plateforme Android. Et le moins qu’on puisse dire est que ces applications malveillantes gagnent en complexité au fil des années.

Pour cette nouvelle découverte, Dr Web note un ensemble de trois malwares nommés Android.Loki.1.origin, Android.Loki.2.origin, Android.Loki.3 qui fonctionnent de concert afin d’infiltrer les terminaux Android.

Pour y arriver, plusieurs actions sont mises en œuvre. D’abord, Android.Loki.1.origin est téléchargé sur le système visé à partir d’une bibliothèque nommée liblokih.so. Une fois téléchargée, cette dernière va se fondre dans un processus système en s’appuyant sur Android.Loki.3. Il faut préciser que selon Dr Web, Android.Loki.3 agit en tant qu’un serveur permettant d’exécuter des scripts shell reçus des tiers malveillants via un serveur de commande et contrôle (C&C).

C’est lui qui permettra à Android.Loki.1.origin d’obtenir des droits d’accès élevés pour effectuer plusieurs actions sur le système infecté. Comme actions envisageables, l’on a par exemple la possibilité de télécharger n’importe quelle application sur Google Play Store, installer et supprimer des applications sur l’appareil, activer ou désactiver des applications, afficher des notifications, suivre les clics sur l’écran de l’appareil, etc.

À côté de ces deux applications indésirables, nous avons également Android.Loki.2.origin qui est utilisée par les attaquants pour installer des applications et afficher de la publicité sur les appareils infectés et cela à partir d’un serveur C&C. En plus de ces tâches, Dr Web souligne qu’Android.Loki.2.origin effectue également de l’espionnage en envoyant aux attaquants des informations relatives à l’appareil infecté (IMEI de l’appareil, adresse Mac, version du système d’exploitation, résolution de l’écran, etc.).

Après avoir envoyé les informations désirées aux tiers malveillants, Android.Loki.2.origin reçoit des instructions à partir du serveur (C&C), par exemple afficher une notification. En cliquant sur cette dernière, l’utilisateur sera redirigé vers un site web ou encore initialisera l’installation d’une application sans le savoir.

Une des particularités avec ces chevaux de Troie, explique Dr Web, c’est que les attaquants installent certains composants de ces malwares dans les dossiers système inaccessibles aux antivirus. Pour pouvoir donc se débarrasser de ces chevaux de Troie, il est recommandé de réinitialiser le système d’exploitation aux paramètres d’usine.

Source : Dr Web

Et vous ?

Que pensez-vous de ces chevaux de Troie ?

Pensez-vous qu’ils annoncent une nouvelle génération de malwares encore plus virulents ?

Voir aussi

Forum Sécurité

Forum Android


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de lankoande lankoande - Membre confirmé http://www.developpez.com
le 14/02/2016 à 13:47
C'est vraiment du professionalisme çà, enfin même si c'est dans le mauvais sens !

Pour pouvoir donc se débarrasser de ces chevaux de Troie, il est recommandé de réinitialiser le système d’exploitation aux paramètres d’usine.

D'accord, mais comment savoir que mon système d'exploitation est infecté par ces malwares ? Parce que tout commence par là ! Ou dois-je prévoir la réinitialisation

de mon OS toutes les deux semaines ?
Avatar de TiranusKBX TiranusKBX - Membre expert http://www.developpez.com
le 15/02/2016 à 1:46
Citation Envoyé par lankoande  Voir le message
C'est vraiment du professionalisme çà, enfin même si c'est dans le mauvais sens !

D'accord, mais comment savoir que mon système d'exploitation est infecté par ces malwares ? Parce que tout commence par là ! Ou dois-je prévoir la réinitialisation

de mon OS toutes les deux semaines ?

je pense que même si les antivirus ne sont pas dans la capacité d'éradiquer la menace ils peuvent prévenir, vus que les infos circulent entre les différentes sociétés éditrices l'on devrai bientôt avoir un moyen de détection généralisé.
Bon biensûr cela dépend du sérieux de l'éditeur de vôtre suite de protection
Avatar de Proper Dave Proper Dave - Nouveau Candidat au Club http://www.developpez.com
le 19/02/2016 à 11:28
Voici comment un blocage d'accès root sur une machine se retourne contre son utilisateur... résultat identique à l'utilisation d'un système propriétaire.
Android équivalent à iOS ou Windows ? Noooooon !
Offres d'emploi IT
Architecte systèmes d'informations H/F
SAFRAN - Ile de France - Magny-les-Hameaux (78114)
Ingénieur sécurité des systèmes d'information drone (2 postes à pourvoir) H/F
SAFRAN - Ile de France - Éragny (95610)
Ingénieur développement logiciel drone H/F (5 postes à pourvoir)
SAFRAN - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil