Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Android dans le collimateur du malware SpyEye
SPITMO détourne les codes d'accès bancaires envoyés par SMS

Le , par Idelways, Expert éminent sénior
Mise à jour du 14 septembre 2011 par Idelways

Les concepteurs du célèbre trojan SpyEye, dédié à la cybercriminalité bancaire, étendent ses activités aux smartphones sous Android, où une variante baptisée SPITMO intercepte les SMS que de nombreuses institutions financières utilisent comme une mesure antifraude.

La firme de sécurité américaine Trusteer estime sur son blog qu'il s'agisse là du premier malware Android à se propager sans l'aide du Market de Google ni des boutiques applicatives parallèles.

SPITMO nécessite plus précisément que l'ordinateur de sa victime soit infecté avec la version Desktop de SpyEye.
Cette dernière corrompt le navigateur pour incruster subtilement sur le site de la banque de l'utilisateur, un message suggérant l'installation d'un paquet Android qui assurera la sécurité de son service bancaire mobile.

À partir du moment que l'utilisateur gobe la supercherie et installe manuellement le malware en question, suivant des instructions précises, tous les SMS qu'il reçoit sont continuellement interceptés et envoyés à l’un des centres de contrôle et de commande des attaquants via de simples requêtes GET.

Mais avant une dernière étape est nécessaire pour réussir « leur coup », composer un numéro (325000) afin d'obtenir un code d'activation. Dès lors, les attaquants pourront retirer des fonds ou effectuer des transferts en ligne.

Le malware s'installe sous les appareils en tant que processus appelé « System », invisible sur le dashboard et sur la liste des applications ouvertes (il n’agit ni en tant qu’application, ni en tant que service).

Les chercheurs de Trusteer menés Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.

Il n'en reste pas moins qu’il s'agit là d'une parade inquiétante contre les mesures de sécurité antienregistreurs de frappe (Keyloggers), qui renouvellent les codes d'accès après chaque utilisation, et les communiquent à l'utilisateur par SMS.

Pour mémoire, SpyEye a fait ses débuts sur les forums underground russes fin 2009, et il n'a pas cessé depuis de soulever les craintes des firmes en sécurité pour sa sophistication qui lui permet jusqu'à agir en tant qu'anti-ZeuS (un trojan bancaire concurrent) pour ne point partager le pactole de ses victimes !

Pour plus d'informations sur les autres menaces de sécurité qui pèsent sur Android, lire notre dossier ci-avant.

Source : Trusteer


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 15/09/2011 à 10:09
Citation Envoyé par Hinault Romaric  Voir le message
Les chercheurs de Trusteer menés Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.

C'est toujours ce qui m'a étonné dans ce genre d'attaques : il faut que le processus corrompus communique avec le serveur. Si on est capable de bloquer cette communication, le virus est inoffensif. Donc il suffit de se poser la question "comment le virus communique-t-il avec le serveur ?" en creusant un peu on tombe sur "comment est-il capable de le localiser ?" (est-ce écrit en dur ? si non, comment acquière-t-il l'information ?). Il est ensuite relativement facile de copier la technique du processus pour récupérer nous aussi l'adresse du serveur, puis de le fermer. Et voilà !
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 15/09/2011 à 16:22
Ne serait-ce pas une utilisation intéressante des réseaux de type TOR? (http://fr.wikipedia.org/wiki/Tor_(réseau))

Qui a justement la propriété de rendre difficile (pas impossible, certes) le suivi d'un échange...

Et puis, il nous suffit de regarder autour de nous. On est informaticiens, et on comprend un certain nombre de choses que des gens qui n'ont pas les même centres d'intérêt que nous n'imaginent même pas.
Qui n'a jamais dû dépanner une machine victime d'une quantité phénoménale de spamware, spyware et autres?

Ce truc n'est pas destiné a attaquer les geek, qui savent ce qu'est le phishing (et qui sont capable de détecter les traces de malwares juste a cause du ralentissement de leur bécanne, voire même de les enlever à la main s'il est mauvais). Mais les gens "normaux" pour qui il est logique d'installer un logiciel si un autre leur dit que c'est nécessaire pour leur sécurité.
Offres d'emploi IT
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil