L’entreprise de sécurité informatique Dr Web vient de détecter un ensemble de chevaux de Troie opérant sur la plateforme Android. Et le moins qu’on puisse dire est que ces applications malveillantes gagnent en complexité au fil des années.
Pour cette nouvelle découverte, Dr Web note un ensemble de trois malwares nommés Android.Loki.1.origin, Android.Loki.2.origin, Android.Loki.3 qui fonctionnent de concert afin d’infiltrer les terminaux Android.
Pour y arriver, plusieurs actions sont mises en œuvre. D’abord, Android.Loki.1.origin est téléchargé sur le système visé à partir d’une bibliothèque nommée liblokih.so. Une fois téléchargée, cette dernière va se fondre dans un processus système en s’appuyant sur Android.Loki.3. Il faut préciser que selon Dr Web, Android.Loki.3 agit en tant qu’un serveur permettant d’exécuter des scripts shell reçus des tiers malveillants via un serveur de commande et contrôle (C&C).
C’est lui qui permettra à Android.Loki.1.origin d’obtenir des droits d’accès élevés pour effectuer plusieurs actions sur le système infecté. Comme actions envisageables, l’on a par exemple la possibilité de télécharger n’importe quelle application sur Google Play Store, installer et supprimer des applications sur l’appareil, activer ou désactiver des applications, afficher des notifications, suivre les clics sur l’écran de l’appareil, etc.
À côté de ces deux applications indésirables, nous avons également Android.Loki.2.origin qui est utilisée par les attaquants pour installer des applications et afficher de la publicité sur les appareils infectés et cela à partir d’un serveur C&C. En plus de ces tâches, Dr Web souligne qu’Android.Loki.2.origin effectue également de l’espionnage en envoyant aux attaquants des informations relatives à l’appareil infecté (IMEI de l’appareil, adresse Mac, version du système d’exploitation, résolution de l’écran, etc.).
Après avoir envoyé les informations désirées aux tiers malveillants, Android.Loki.2.origin reçoit des instructions à partir du serveur (C&C), par exemple afficher une notification. En cliquant sur cette dernière, l’utilisateur sera redirigé vers un site web ou encore initialisera l’installation d’une application sans le savoir.
Une des particularités avec ces chevaux de Troie, explique Dr Web, c’est que les attaquants installent certains composants de ces malwares dans les dossiers système inaccessibles aux antivirus. Pour pouvoir donc se débarrasser de ces chevaux de Troie, il est recommandé de réinitialiser le système d’exploitation aux paramètres d’usine.
Source : Dr Web
Et vous ?
Que pensez-vous de ces chevaux de Troie ?
Pensez-vous qu’ils annoncent une nouvelle génération de malwares encore plus virulents ?
Voir aussi
Forum Sécurité
Forum Android
Une famille de trois chevaux de Troie infecte les processus système d'Android
Après avoir obtenu les privilèges utilisateur
Une famille de trois chevaux de Troie infecte les processus système d'Android
Après avoir obtenu les privilèges utilisateur
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !