Des chercheurs découvrent un malware Android qui espionne plus de 40 autres applications
Un smartphone Android sur quatre est vulnérable

Le , par Stéphane le calme, Chroniqueur Actualités
Un logiciel malveillant sur la plateforme mobile de Google a été repéré en train d’exfiltrer des données privées provenant de plus de 40 applications populaires parmi lesquelles Facebook, WhatsApp, Skype et Firefox. Selon les ingénieurs en sécurité de Palto Alto Networks, qui ont baptisé le logiciel SpyDealer, ce cheval de Troie opère sous radar depuis plus d’un an et demi.

« En juin 2017, nous avons capturé 1046 échantillons de SpyDealer. Notre analyse montre que SpyDealer est actuellement en cours de développement. Il existe actuellement trois versions de ce malware, notamment la 1.9.1, 1.9.2 et 1.9.3. À partir de la version 1.9.3, le contenu des fichiers de configuration et presque toutes les chaînes constantes du code sont chiffrés ou codés. Un service d'accessibilité a également été introduit dans la version 1.9.3 pour voler les messages des applications ciblées. Selon notre ensemble de données, la plupart de ces échantillons utilisent le nom de l'application "GoogleService" ou "GoogleUpdate". L'échantillon le plus récent que nous avons observé a été créé en mai 2017 alors que l'échantillon le plus ancien remonte à octobre 2015, ce qui indique que cette famille de logiciels malveillants est active depuis plus d'un an et demi ».

Quant à ses capacités, les chercheurs assurent que SpyDealer peut entre autres :
  • exfiltrer des données privées de plus de 40 applications populaires, parmi lesquelles WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail , Taobao et Baidu Net Disk (notons qu’il y a de nombreuses applications originaires de Chine) ;
  • circonvenir de la fonctionnalité du service d'accessibilité Android pour voler des messages sensibles issus des applications populaires et de réseautage social telles que WeChat, Skype, Viber, QQ ;
  • profiter de l'application d'enracinement commercial « Baidu Easy Root » pour obtenir le privilège racine et maintenir la persistance sur le périphérique compromis ;
  • récolter une liste exhaustive d'informations personnelles, parmi lesquelles le numéro de téléphone, l’IMEI, l’IMSI, les SMS, les MMS, les contacts, les comptes, l’historique des appels téléphoniques ainsi la géolocalisation ;
  • répondre automatiquement aux appels entrants d'un numéro spécifique ;
  • servir de télécommande de l'appareil via les canaux UDP, TCP et SMS ;
  • espionner l'utilisateur compromis en :
    • faisant des enregistrements des appels téléphoniques, mais aussi des enregistrements audio et vidéo de l’environnement de la victime,
    • prenant des photos via la caméra avant et arrière,
    • surveillant l'emplacement du périphérique compromis,
    • effectuant des captures d'écran.

Comme beaucoup d'autres formes de logiciels malveillants, SpyDealer est capable de recevoir des instructions d'un serveur de commande et de contrôle, ainsi que des commandes par message texte, afin que les personnes qui sont aux commandes puissent effectuer une série d’actions (collecter un ensemble d’éléments grâce aux fonctionnalités du logiciel malveillant, contrôler le dispositif ou même détruire les données collectées).

Toutefois, SpyDealer est décrit comme étant « complètement efficace » uniquement sur les appareils Android qui tournent sur des versions comprises entre 2.2 et 4.4, car l'outil d'enracinement qu'il exploite prend uniquement en charge ces versions du système d'exploitation.

Alors que ces versions d'Android sont des formes anciennes du système d'exploitation (Android 2.2 a été lancé pour la première fois en mai 2010 et Android 4.4 a été publié fin 2013), les chercheurs rappellent qu'un quart des appareils Android dans le monde utilisent toujours ces systèmes d'exploitation. Avec deux milliards d'appareils Android actifs, cela signifie potentiellement que 500 millions d'appareils Android sont vulnérables.

De plus, les chercheurs notent qu’il y a d’autres facteurs qui atténuent le risque de cette menace pour la plupart des utilisateurs.
  • Pour autant qu’ils le sachent, les chercheurs indiquent que SpyDealer n'a pas été distribué via Google Play Store ;
  • Même s’ils ne savent pas exactement comment les périphériques sont initialement infectés par SpyDealer, les chercheurs assurent avoir des éléments de preuve suggérant que les utilisateurs chinois soient infectés par des réseaux sans fil compromis ;
  • Les informations sur cette menace ont été communiquées à Google qui a initialisé des mesures de protection via Google Play Protect.

Source : Palto Alto Networks

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Développeur php/symfony confirmé H/F
SEPTEO - Languedoc Roussillon - proximité Montpellier
Directeur Projet Supply Chain
Alten - Midi Pyrénées - Toulouse
Assistant Qualité (H/F)
Meetic - Ile de France - Paris

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil