DressCode, un malware Android dissimulé dans plus de 400 applications de Google Play,
Susceptible de voler les données sensibles des entreprises
Le 2016-10-03 09:51:18, par Michael Guilloux, Chroniqueur Actualités
DressCode fait partie des dernières menaces de l’écosystème Android. Le malware Android a été documenté pour la première fois en août dernier par les chercheurs du cabinet Check Point, mais l’ampleur de la menace a été beaucoup sous-estimée.
D’après les chercheurs de Check Point, le programme malveillant était injecté dans un peu plus de 40 applications disponibles sur le Google Play et 400 autres provenant de boutiques d’applications tierces. Un récent rapport de Trend Micro, quant à lui, estime que le malware DressCode est dissimulé dans plus de 3000 applications hébergées sur des boutiques d’applications Android bien connues, dont plus de 400 sur Google Play uniquement. DressCode se cache à l'intérieur de jeux, de thèmes d'interface utilisateur et d'applications d'optimisation de téléphone. Il faut également noter que, sur Google Play, certaines de ces applications embarquant le code malveillant ont été téléchargées entre 100 000 et 500 000 fois.
D’après les chercheurs de Trend Micro, la menace peut être difficile à découvrir parce que le code malveillant n’est qu’une petite portion du code de l’application dans laquelle il se cache. Une fois installé sur un appareil, le code malveillant de DressCode va établir une connexion avec un serveur de commande et de contrôle et recevoir des instructions de ses développeurs. Le serveur de commande et de contrôle va ordonner au malware de rester inactif jusqu’à ce qu’il détecte une utilisation précise du dispositif. Les deux firmes de sécurité affirment que le malware peut notamment s’infiltrer dans les réseaux d’entreprise auxquels se connecte l’appareil infecté, pour voler des données sensibles. Trend Micro a trouvé des échantillons de DressCode qui ont infecté des utilisateurs d’entreprise aux États-Unis, en France, en Israël et en Ukraine ; une liste qui continue de s’allonger. Il s’agit donc d’une menace pour les entreprises qui permettent à leurs employés d’utiliser leurs propres appareils pour le travail. « Avec la croissance des programmes Bring Your Own Device (BYOD), plus d'entreprises s'exposent à des risques par un employé qui ne fait pas attention à l’utilisation de son appareil mobile », a déclaré la firme de sécurité.
Les attaquants peuvent également enrôler les appareils infectés pour former un botnet, un groupe de dispositifs commandés à distance à l’insu des utilisateurs, qu’ils pourront utiliser à diverses fins : lancer des attaques par déni de service distribuées (DDoS), envoyer des spams, effectuer de faux clics pour générer des revenus publicitaires, etc.
Les applications malveillantes ont été téléchargées sur la boutique de Google depuis le mois d’avril. Après que Google a été informé par Check Point, certaines applications ont été retirées de Google Play, mais la menace est toujours présente puisque Trend Micro a découvert dix fois plus d’applications infectées. Comme mesures de précaution, la firme de sécurité suggère donc, avant tout, de vous assurer, lorsque vous téléchargez une application, que vous le fassiez depuis un app store légitime, sans oublier de lire les commentaires sur l’application.
Comme autres mesures de sécurité, Trend Micro recommande de :
Sources : Trend Micro, Check Point
Et vous ?
Voir aussi :
D’après les chercheurs de Check Point, le programme malveillant était injecté dans un peu plus de 40 applications disponibles sur le Google Play et 400 autres provenant de boutiques d’applications tierces. Un récent rapport de Trend Micro, quant à lui, estime que le malware DressCode est dissimulé dans plus de 3000 applications hébergées sur des boutiques d’applications Android bien connues, dont plus de 400 sur Google Play uniquement. DressCode se cache à l'intérieur de jeux, de thèmes d'interface utilisateur et d'applications d'optimisation de téléphone. Il faut également noter que, sur Google Play, certaines de ces applications embarquant le code malveillant ont été téléchargées entre 100 000 et 500 000 fois.
D’après les chercheurs de Trend Micro, la menace peut être difficile à découvrir parce que le code malveillant n’est qu’une petite portion du code de l’application dans laquelle il se cache. Une fois installé sur un appareil, le code malveillant de DressCode va établir une connexion avec un serveur de commande et de contrôle et recevoir des instructions de ses développeurs. Le serveur de commande et de contrôle va ordonner au malware de rester inactif jusqu’à ce qu’il détecte une utilisation précise du dispositif. Les deux firmes de sécurité affirment que le malware peut notamment s’infiltrer dans les réseaux d’entreprise auxquels se connecte l’appareil infecté, pour voler des données sensibles. Trend Micro a trouvé des échantillons de DressCode qui ont infecté des utilisateurs d’entreprise aux États-Unis, en France, en Israël et en Ukraine ; une liste qui continue de s’allonger. Il s’agit donc d’une menace pour les entreprises qui permettent à leurs employés d’utiliser leurs propres appareils pour le travail. « Avec la croissance des programmes Bring Your Own Device (BYOD), plus d'entreprises s'exposent à des risques par un employé qui ne fait pas attention à l’utilisation de son appareil mobile », a déclaré la firme de sécurité.
Les attaquants peuvent également enrôler les appareils infectés pour former un botnet, un groupe de dispositifs commandés à distance à l’insu des utilisateurs, qu’ils pourront utiliser à diverses fins : lancer des attaques par déni de service distribuées (DDoS), envoyer des spams, effectuer de faux clics pour générer des revenus publicitaires, etc.
Les applications malveillantes ont été téléchargées sur la boutique de Google depuis le mois d’avril. Après que Google a été informé par Check Point, certaines applications ont été retirées de Google Play, mais la menace est toujours présente puisque Trend Micro a découvert dix fois plus d’applications infectées. Comme mesures de précaution, la firme de sécurité suggère donc, avant tout, de vous assurer, lorsque vous téléchargez une application, que vous le fassiez depuis un app store légitime, sans oublier de lire les commentaires sur l’application.
Comme autres mesures de sécurité, Trend Micro recommande de :
- mettre à jour son système régulièrement pour bénéficier des derniers correctifs qui peuvent assurer une protection contre les dernières vulnérabilités ;
- éviter le rootage qui supprime des restrictions et garanties de sécurité spécifiquement placées par les fabricants pour garder votre appareil protégé. Le système sera plus vulnérable aux logiciels malveillants et autres codes dangereux si le dispositif est rooté ;
- éviter les Wi-Fi non sécurisés et désactiver si possible l'option de connexion automatique aux Wi-Fi ;
- utilisez un réseau privé virtuel (VPN) si vous avez besoin de vous connecter à un Wi-Fi public.
Sources : Trend Micro, Check Point
Et vous ?
Voir aussi :
-
FagusMembre expertsi si, ils donnent la liste concernée là :
http://blog.checkpoint.com/2016/08/3...n-google-play/
En fait, j'ose même pas imaginer le nombre de codes malicieux cachés dans tout ce code qui ne sera jamais relu sur mon PC (plugins navigateur... soft open source, freeware et soft payants...). Va savoir ce qui transite dans ces connections ssl que la plupart des programmes ouvrent de temps en temps.le 06/10/2016 à 0:44 -
jumpersMembre du Clubje me choppe le syndrome du "c'était mieux avant"... des informations vagues, pas totalement justes, avec je ne sais combien de temps de retard. déçu de Developpez.net pour le coup...
vous avez qu'un mois de retard sur l'information, qui a entre-autre été publiée sur Frandroid a la mi-septembre, qui eux avaient déjà du retard sur bien d'autres.
la plupart des paquets infectés sont déjà supprimés du play store depuis un bon moment... a la publication de l'article de frandroid, la plupart des paquets étaient déjà plus accessibles.
quant aux "400 applications du google play", c'est totalement faux, il y en avait (vu la suppression de la plupart...) une quarantaine, le chiffre 400 relate des applications sur des stores tiers, les black markets, qui sont d'office a proscrire, surtout si la source n'est pas fiable.le 06/10/2016 à 14:15 -
AiekickMembre extrêmement actifpourquoi ils ne donnent pas la liste des applis concernées ?le 03/10/2016 à 12:06
-
xillibitMembre régulierPeut-être parce qu'ils veulent vendre leur antivirus pour android : Trend Micro Mobile Security for Androidle 03/10/2016 à 13:59
-
BigbMembre avertiLe BYOD est une hérésie ! On voit ce que ca peut donner, et encore on est loin du compte car un terminal peut devenir un vrai vecteur d'attaque d'un réseau privé.le 03/10/2016 à 15:48
-
tchize_Expert éminent séniorCa c'est les 40 de départ de checkpoint, on cherche la liste des 400+ trouvés par trend micro.le 09/10/2016 à 18:10
-
tchize_Expert éminent séniorMême si les premières news sur Dress Code sont ancienne, le billet de TrendLabs dont il est ici question date du 29 septembre, pas il y a un mois et il précisent bien, des millier d'applications détectées sur divers store, dont plus de 400 sur google play.le 09/10/2016 à 18:16