Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Un malware Android utilise le réseau Tor pour couvrir ses traces
Une structure évoque la variation d'un botnet qui existe déjà

Le , par Stéphane le calme, Chroniqueur Actualités
Kaspersky a mis le doigt sur un malware Android qui fait usage du réseau anonyme Tor. Dans un billet sur le blog de l’entreprise, Roman Unuchek, expert en sécurité chez Kaspersky Lab, explique que le programme malveillant utilise un site de Tor qui se comporte comme serveur de commande et de contrôle.

En acheminant la connexion entre l'utilisateur et le site web à travers des milliers de serveurs à travers le monde, rendant ainsi le suivi des données envoyées via le réseau Tor extrêmement difficile. D’ailleurs, l’un des avantages à utiliser ce genre de site est que le «serveur de commande et de contrôle est impossible à arrêter» explique Roman Unuchek.

Le malware peut intercepter les SMS et recueillir d'autres données comme le numéro de téléphone, le code IMEI du terminal et sa localisation via la fonction GPS.

Baptisé « Backdoor.AndroidOS.Torec.a », le malware découvert par Kaspersky est une variante du client Orbot Tor. Il s'agit d'un package logiciel du projet Tor pour installer l'outil d'anonymisation sur les terminaux Android. «Le malware ne cherche pas à se faire passer pour Orbot pour amener les clients à le télécharger, mais utilise simplement la fonctionnalité du client Orbot», précise l'expert.

Le malware a aussi la possibilité d’envoyer des messages textes à des numéros premium qui pourraient revenir à 1 dollar le message. Dans une interview, Yuval Ben-Itzhak, Directeur Technique chez AVG Technologies, estime qu’il est «dix fois plus facile de se faire de l’argent sur smartphone depuis que celui-ci est rattaché à vos informations bancaires». Pour lui, l'époque où les pirates avaient besoin de subtiliser les informations relatives à votre carte de crédit pour les vendre en ligne ou les utiliser pour des transactions est désormais révolue. Une fois «mon malware installé sur votre téléphone mobile, je pourrais commencer à vous envoyer des messages textes premium et vous facturer 1 dollar le message, et la plupart du temps, [vous les consommateurs] n'allez pas le remarquer sur votre facture mensuelle puisqu’une si faible quantité ne modifie pas votre facture totale de beaucoup » explique-t-il.

Adam Kujawa, responsable de l'équipe Malware Intelligence chez Malwarebytes, indique que le malware découvert par Kaspersky est connu sous le nom de « Slempo » et qu'il s'agit d'une variation ou d'une évolution du botnet « Stoned Cat ».

«Nous vous recommandons de garder un œil sur les augmentations d'utilisation de données à partir de votre appareil mobile, des surconsommations d'énergie (la gestion d'une connexion constante TOR déchargera sans doute votre batterie plus rapidement qu’à l’accoutumée) et d'autres types de comportements étranges» écrit Kujawa.

Source : Blog Kaspersky, Blog Malwarebytes

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Ben_H Ben_H - Membre à l'essai https://www.developpez.com
le 28/02/2014 à 9:52
On voit beaucoup d'articles récemment sur la montée en puissance des malwares sur Android mais je suis cependant curieux de savoir comment ils peuvent vraiment arriver sur nos téléphones. Est ce qu'ils sont transportés dans des applis du Google Play ?
Avatar de miky55 miky55 - Membre averti https://www.developpez.com
le 28/02/2014 à 12:58
Citation Envoyé par Ben_H  Voir le message
On voit beaucoup d'articles récemment sur la montée en puissance des malwares sur Android mais je suis cependant curieux de savoir comment ils peuvent vraiment arriver sur nos téléphones. Est ce qu'ils sont transportés dans des applis du Google Play ?

Les méthodes de propagations classiques se font le plus souvent via les markets alternatifs ou en téléchargeant des apks sur des sites douteux/torrent etc...
Avatar de Apophis999 Apophis999 - Membre à l'essai https://www.developpez.com
le 28/02/2014 à 17:23
D'après l'article, c'est la société privée Kaspersky qui affirme l'existence du malware : ne pensez-vous pas qu'il serait profitable à ce genre de sociétés privées de décrédibiliser le réseau Tor, en lançant des rumeurs qui pourraient être fausses ? je ne dis pas qu'elles le sont, mais je pense qu'on pourrait prendre du recul face à cette affirmation : qu'en pensez-vous ?
Les méthodes de propagations classiques se font le plus souvent via les markets alternatifs ou en téléchargeant des apks sur des sites douteux/torrent etc...

Le malware ne serait donc pas très répandu, non ?
Offres d'emploi IT
Ingénieur conception/développement logiciel (H/F)
Opensourcing - Ile de France - Vélizy-Villacoublay (78140)
Devops-intégration continue (H/F)
Atos - Rhône Alpes - Lyon (69000)
Développeur java spring (et/ou android) (h/f)
Henoïda - Ile de France - Romainville (93230)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil