Developpez.com

Le Club des Développeurs et IT Pro

DeathRing : un malware caché dans le système Android

Le virus trompe les utilisateurs en se faisant passer pour une application installée par défaut

Le 2014-12-08 23:53:40, par Amine Horseman, Expert éminent sénior
La firme de sécurité Lookout vient de détecter un programme malveillant préinstallé par défaut sur des appareils Android neufs sous forme d’une application de sonneries pour téléphone.

En réalité, l’application est un malware d’origine chinoise, qui peut se connecter à un serveur de commandes sur le net. Le hacker peut, par le biais de ce serveur, envoyer des ordres au malware pour accéder à des données privées de l’appareil comme le contenu des SMS ou encore utiliser le navigateur pour demander à l’utilisateur de télécharger de nouvelles applications, qui seront en réalité des mises à jour du malware ou d’autres virus qui permettraient au hacker d’étendre son contrôle sur le smartphone infecté.

Ayant été surnommé « DeathRing » par Lookout, ce qui peut se traduire littéralement par « Sonnerie de la mort », ce malware a la particularité d’être préinstallé par défaut dans le répertoire système, ce qui empêche les antivirus de le supprimer. De la même façon, le malware reste présent en cas d’une restauration du système puisqu’il a été fabriqué avec. Il s’active après la 15e mise en veille du téléphone ou après le 5e redémarrage de l’appareil dans le cas contraire.

Les principaux pays concernés par ce malware sont le Vietnam, l’Indonésie, l’Inde, le Nigeria, Taiwan et la Chine. Si votre téléphone Android provient de l’un de ces pays, il se pourrait que vous soyez victime vous aussi de ce malware. Par ailleurs, vous êtes vivement invités à utiliser un antivirus et à ne jamais installer des applications dont vous ne connaissez pas l’origine.

Source : Lookout
  Discussion forum
5 commentaires
  • yoyo3d
    Membre éprouvé
    ce malware a la particularité d’être pré installé par défaut dans le répertoire système, ce qui empêche les antivirus de le supprimer.
    ok

    Par ailleurs, vous êtes vivement invités à utiliser un antivirus et ne jamais installer des applications dont vous ne connaissez pas l’origine.
    Toujours ok, mais si une restau système et un anti virus ne peuvent pas l'éradiquer.... quelle est la manip pour s'en débarrasser?

    on est bien d'accord, attention à ne rien télécharger de dangereux, faire gaffe à ces connexions douteuses, ne pas aller sur des sites à la c*n, mais si le malware est déjà installé "d'usine".... à part boycotter ces marques exotiques
    le 09/12/2014 à 10:58
  • hl037
    Membre du Club
    Ayant été surnommé « DeathRing » par Lookout, ce qui peut se traduire littéralement par « Sonnerie de la mort »
    ...Ou alors "Anneau de la mort" ? si le malware se met parmi les fichiers système, on peut aussi voir un parallèle avec les anneau de protection ?
    le 11/12/2014 à 14:15
  • Blo0d4x3
    Membre actif
    Et vu que tous les téléphones sont fait en Chine ...
    Si quelqu'un connaît le nom de cette application, je serais curieux de le savoir.

    Edit:

    Les marques infectées ne seraient que Gionee, Haler, Jiayu, Hi-Tech, et Karbonn. Et j'ai trouvé un sample =)
    le 09/12/2014 à 9:33
  • Uther
    Expert éminent sénior
    On peut supposer que les marques touchées vont fournir des images système propres.
    le 09/12/2014 à 11:14
  • LSMetag
    Expert confirmé
    Ca incite à rooter son téléphone.

    J'ai mis CyanogenMod (10.1).
    C'est peut-être ça que mon antivirus a trouvé et supprimé de mon téléphone (j'avais vidé le cache Dalwik donc c'était une installation d'origine). J'ai pas fait attention.
    le 09/12/2014 à 13:04