Developpez.com

Le Club des Développeurs et IT Pro

Le botnet Cutwail répand un nouveau trojan sur Android

Les malwares Android se développent de plus en plus

Le 2013-04-11 19:28:17, par Stéphane le calme, Chroniqueur Actualités
Le cheval de Troie Stels apporté par le botnet Cutwail infecte les appareils Android en se faisant passer pour une mise à jour d’Adobe Flash Player.

Au cas où la victime potentielle ne se trouve pas sur la plateforme Android, les développeurs du malware ont un plan de secours.

Ils envoient un lien spam qui, s’il est ouvert sur un navigateur, redirige l’utilisateur vers des pages web où un kit d’exploit Blackhole les attend.

Une équipe d’analystes de Dell a publié plus de détails sur l’analyse de ce scénario.

Selon cette analyse, les attaques commencent par l’envoi d’un spam semblant provenir des Services Internes des Revenus (une agence de taxe aux États-Unis).

Si l’utilisateur clique sur le lien, un script commence à analyser si l’appareil utilisé fonctionne sur une plateforme Android. Si tel n’est pas le cas, la victime utilisant IE, Firefox ou Opéra sera redirigée vers une page Web qui sert de façade pour un kit d'exploit Blackhole, qui essaye alors d'exploiter les plugins obsolètes dans une tentative d’infecter l'ordinateur.


Toutefois, si le script découvre que l’appareil fonctionne sous Android, il envoie l'utilisateur vers une page Web proposant une mise à jour Flash Player. Pour installer la fausse mise à jour, l'utilisateur devrait avoir activé le paramètre « Autoriser les applications provenant de sources inconnues ».



Une fois la mise à jour approuvée, le cheval de Troie est installé et lorsque l’application est censée s’ouvrir la première fois, elle annonce que la mise à jour n’a pas fonctionné et sera désinstallée.


Stels fonctionnera alors en arrière-plan, mettant en place une porte dérobée pour télécharger d’autres malwares. Le cheval de Troie pourra épier le carnet d’adresses de la victime, envoyer des SMS, passer des appels ou filtrer les messages reçus de la victime. Travaillant de concert avec le cheval de Troie Zeus, Stels pourra probablement déjouer l’authentification à deux facteurs.

Toutefois, le cheval de Troie n’est pas encastré profondément dans le système Android puisqu’il n’utilise pas l’accès à la racine ou n’essaye pas particulièrement de se cacher. La pseudo-mise à jour de Flash pourra alors être facilement identifiée et désinstallée avant la première utilisation. D’ailleurs le nom « Appname » figurant sous l’icône devrait largement éveiller les soupçons.

Source : Dell

Et vous ?

Que pensez-vous de Stels ? Et de la prolifération des malwares sur Android ?

Si la victime a déjà exécuté l’application, que pouvez-vous préconiser pour l’aider à se débarrasser du malware ?
  Discussion forum
5 commentaires
  • nicroman
    Expert éminent
    Non mais il faut arrêter là....

    Un mail (?) de l'IRS (??) vous demande d'installer une application (???) !!!
    Déjà trois raisons de mettre le mail à la poubelle.

    Il faut autoriser les sources inconnues...(je reviendrai la dessus après).

    L'application s'appelle FLASHPLAYER.UPDATER (????).... Flash n'étant plus supporté sur Android depuis un moment, et n'ayant aucun lien avec PDF....
    Une raison supplémentaire de refuser.

    Et en prime il est écrit en gros:
    "Directly call phone numbers"
    "Read contacts"
    Pour un updater de FlashPlayer ?????

    Je pense, sans troller, que si quelqu'un décide d'installer néanmoins ce truc, c'est qu'il mérite le résultat (et plus ça fera du boulot à des gens sérieux).

    Bon.... sinon, vu que pour que cela fonctionne il faut autoriser les sources inconnues, je pense que c'est limité à un petit nombre de gens qui ne se feront avoir ni par le mail, ni par l'appli et ses autorisations délirantes. Donc risque global d'infestation mondiale proche de 0.

    Et au passage, il n'y a aucune faille de sécurité utilisée ici... me trompe-je ?
    le 12/04/2013 à 15:47
  • Lekno
    Membre éclairé
    Je suis d'accord avec nicroman, encore une fois la vigilence de l'utilisateur est la plus grosse faille
    le 12/04/2013 à 17:02
  • leminipouce
    Membre éprouvé
    Envoyé par la.lune
    En tout cas ça se voit bien qu'Andoïd s'en sort bien, les malwares n'ont jamais été un vrai critère de faiblesse pour un OS, l'exemple c'est Windows, cela prouve plutôt un signe de popularité du système et ça lui donne de la force par ce qu'il est ciblé.
    Même si je suis entièrement d'accord sur le fait que la popularité d'un OS est l'essence même de l'intérêt que lui porte les pirates, je ne suis pas d'accord sur l'exemple donné. On est vendredi, et c'est pas une raison pour troller à tout va, mais quand même, les principes de bases de sécurité de Windows sont justement une faiblesse qui a permis de faciliter bon nombres de piratages.
    le 12/04/2013 à 15:15
  • la.lune
    Membre chevronné
    Envoyé par leminipouce
    Mais quand même, les principes de bases de sécurité de Windows sont justement une faiblesse qui a permis de faciliter bon nombres de piratages.
    Ma question est ce que ces failles ont contribué en vraie pour que les utilisateurs abandonnent l'OS, ou plutôt qu'ils ont poussé Microsoft à travailler plus, de même que les fournisseurs d'anti-virus de gagner plus?
    le 12/04/2013 à 15:44
  • la.lune
    Membre chevronné
    En tout cas ça se voit bien qu'Andoïd s'en sort bien, les malwares n'ont jamais été une vraie critère de faiblesse pour un OS, l'exemple c'est Windows, cela prouve plutôt un signe de popularité du système et ça lui donne de la force par ce qu'il est ciblé.
    le 12/04/2013 à 13:10