Android : des malwares dissimulent une partie de leur code sur des serveurs distants
Pour tromper la sécurité de Google Play
Le 2012-07-12 14:37:45, par Hinault Romaric, Responsable .NET
Pour contourner les mesures de sécurité appliquées aux applications avant leur validation sur les différentes galeries mobiles, les pirates développent des solutions apparemment inoffensives qui, après installation, téléchargent et installent du code malveillant à partir d’un serveur distant.
C’est ainsi que deux applications se faisant passer pour les jeux populaires « Super Mario Bros » et « GTA 3 - Moscow city » ont pu se retrouver sur le store Google Play le 24 juin.
Avant la découverte de celles-ci par le cabinet de sécurité Symantec, ces applications avaient déjà été téléchargées environ 50 000 à 100 000 fois.
Après installation, l’application, « Super Mario Bros » ou « GTA 3 - Moscow city », procédait au téléchargement d’un paquet supplémentaire « Activator.apk » depuis un compte sur Dropbox, et invitait les utilisateurs à l’installer.
L’application Activator effectuait par la suite des envois de SMS à un numéro surtaxé dans un pays à l’Est de l’Europe. Après quoi, elle demandait à être désinstallée.
Un subterfuge qui permettait ainsi au cheval de Troie « Dropdialer » de se dissimuler dans ces applications pour traverser sans aucun problème les barrières de sécurité de Google dont Bouncer, l’outil de scan automatique de Google Play pour détecter les malwares, activé en début d’année.
Les applications « Super Mario Bros » et « GTA 3 - Moscow city » ont été rapidement supprimées par Google de la galerie Android, après avoir été alerté par Symantec.
Une découverte qui vient confirmer le constat de Trend Micro sur la galerie officielle Google Play qui serait également un endroit dangereux.
Trend Micro dans son rapport de sécurité pour le second trimestre 2012, constate une augmentation de 400% du nombre de programmes malveillants Android, et prévoit que ce chiffre pourrait atteindre 129 000 avant la fin de l’année.
Source : Symantec
C’est ainsi que deux applications se faisant passer pour les jeux populaires « Super Mario Bros » et « GTA 3 - Moscow city » ont pu se retrouver sur le store Google Play le 24 juin.
Avant la découverte de celles-ci par le cabinet de sécurité Symantec, ces applications avaient déjà été téléchargées environ 50 000 à 100 000 fois.
Après installation, l’application, « Super Mario Bros » ou « GTA 3 - Moscow city », procédait au téléchargement d’un paquet supplémentaire « Activator.apk » depuis un compte sur Dropbox, et invitait les utilisateurs à l’installer.
L’application Activator effectuait par la suite des envois de SMS à un numéro surtaxé dans un pays à l’Est de l’Europe. Après quoi, elle demandait à être désinstallée.
Un subterfuge qui permettait ainsi au cheval de Troie « Dropdialer » de se dissimuler dans ces applications pour traverser sans aucun problème les barrières de sécurité de Google dont Bouncer, l’outil de scan automatique de Google Play pour détecter les malwares, activé en début d’année.
Les applications « Super Mario Bros » et « GTA 3 - Moscow city » ont été rapidement supprimées par Google de la galerie Android, après avoir été alerté par Symantec.
Une découverte qui vient confirmer le constat de Trend Micro sur la galerie officielle Google Play qui serait également un endroit dangereux.
Trend Micro dans son rapport de sécurité pour le second trimestre 2012, constate une augmentation de 400% du nombre de programmes malveillants Android, et prévoit que ce chiffre pourrait atteindre 129 000 avant la fin de l’année.
Source : Symantec
-
FreemMembre émériteJe me demande ce qui empêche ces gens de faire la même chose sur les autres stores?
D'ailleurs, ce coups-ci, la faille est bien connue: PEBCAK. Si l'utilisateur réfléchissais avant d'installer des trucs, il n'aurait pas de problèmes.
En fin de compte, il s'agit plus de phishing que de hacking ici.le 12/07/2012 à 14:55 -
LoritoMembre régulierBonjour,
c'est un peu facile de tout mettre sur le dos de l'utilisateur. Surtout dans ce cas où :
- Ils sont sur le store officiel
- Ils téléchargent un titre "connu"
De plus, avec l'omniprésence des DRM dans l'industrie vidéoludique, voir un Activator.apk ou un Securom.apk ne doit étonner plus aucun joueur...
Donc ok l'accès au SMS aurait du mettre la puce à l'oreille, mais il y a assez de facteurs pour ne pas (trop/exclusivement) taper sur l'usager.le 12/07/2012 à 15:52 -
FlaburganModérateurMoi ce que je comprends pas, c'est pourquoi on ne peut pas installer une application en CHOISISSANT NOUS les privilèges qu'on lui donne ?
Parce que là, c'est soit on accepte TOUT ce que l'appli demande, soit on ne l'installe pas.
Si j'étais sur ce réseau immonde qu'est Facebook par exemple, et que je souhaitais donc utiliser l'appli FB, pourquoi est-ce que je ne pourrais pas installer l'appli en acceptant qu'elle est accès à internet mais en l'empêchant d'accèder à ma liste de contact, ma carte SD, mes sms, ma position, etc... (En plus, l'application est installée de base sur les téléphones, c'est une honte, m'enfin bon... là c'est pas le sujet).
Et si je demande à l'application quelque chose qui nécessite l'accès à mes contacts, elle me le demande à ce moment là. C'est quand même pas bien compliqué comme algo, mais bon, ça empêche les boites de savoir tout ce qu'on a dans notre téléphone, alors...le 13/07/2012 à 16:17 -
leminipouceMembre éprouvéSauf que Cyanogen, il faut encore pouvoir l'installer !
- tout le monde, même sur ce forum, ne se sent pas l'âme/les capacités de le faire, alors pour des non-informaticiens...
- certains téléphone (le mien par exemple...) ont leur bootloader bloqué. C'est une demande explicite de l'opérateur auprès du fabricant lors de la commande du portable. Résultat : impossible de changer la ROM ! Et contrairement à un rootage du téléphone, pour faire péter la protection "Bootloader Unlocker", c'est une manipulation hardware et software qu'il faut faire. Qui met inévitablement un terme à la garantie (sur un Sony, garantie 2 ans, ça me fait mal quand même !) Et inutile de dire qu'il y a encore moins de gens qui se sentent la capacité/l'envie de le faire !
Bref, avec des dizaines de demandes d'autorisations dans tous les sens à lire tout le temps, l'utilisateur fini par si perdre... et prendre l'habitude d'être obligé de toujours accepter... ou rien utiliser !le 16/07/2012 à 17:25 -
ouvreboiteMembre habituéJe ne comprend pas coment des applications peuvent envoyer des sms d'elles-même. Le système ne peut pas demander une validation à l'utilisateur à chaque envoit ?le 12/07/2012 à 15:21
-
FxIzeLMembre actifNon si tu as accepté l'autorisation d'envois de SMS.
Il y a des firewalls pour limiter ces accès comme LBE Privacy Guardle 12/07/2012 à 15:37 -
Ryu2000Membre extrêmement actifTout le monde devrait désinstaller toutes les applications qui demandent l'autorisation SMS, à moins que l'application servent à envoyer des SMS.
Mais par exemple, l'application Facebook la demande.
Ils doivent probablement récupérer des informations personnel grâce à ça, c'est bien le genre de l'entreprise...le 12/07/2012 à 15:43 -
LoritoMembre régulierC'est sûr, je dis simplement que balancer PEBKAC sans réfléchir à la responsabilité de Google est assez facile. Ils ont voulu un market centralisé, à eux d'en assurer la sécurité.
Et après tout, s'il est absurde qu'un jeu ai accès aux SMS, Google ne peut-il justement pas augmenter ces tests sur ces applications spécifiques?
edit : orthole 12/07/2012 à 16:57 -
nicromanExpert éminentQuand même... quand on installe une appli de jeu qui demande de pouvoir envoyer des SMS, il y a des questions à se poser....
De même installer un jeu appelé "GTA 3...." alors que l'éditeur n'est pas rockstar est un peu olé olé ... mais bon...le 12/07/2012 à 16:43 -
ppradosCandidat au ClubC'est décrit dans le Hors série Android de Linux Mag de Juillet/Aout 2012. Les applications peuvent ainsi ne demander le privilège SMS qui si l'utilisateur le souhaite.
Une démo est dispo ici : https://play.google.com/store/apps/d...add.permissionle 12/07/2012 à 18:18