Archives par mot-clé : android

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

Espionnage : nouvelle méthode pour écouter sur Android

Un groupe de chercheurs a développé une attaque d’écoute pour les appareils Android qui peut reconnaître le sexe et l’identité d’un appelant, et même faire la distinction entre des propos privés.

L’attaque par canal latéral, baptisée EarSpy, vise à explorer de nouvelles possibilités d’écoute clandestine en capturant les lectures des capteurs de mouvement causées par la réverbération des haut-parleurs dans les appareils mobiles. Des chercheurs en sécurité de cinq universités américaines ont démontré comment des applications malveillantes peuvent également écouter sans avoir accès au microphone.

Comment ? Les smartphones modernes utilisent de puissants haut-parleurs stéréo qui produisent une bien meilleure qualité sonore et des vibrations plus fortes. De même, les appareils modernes utilisent des capteurs de mouvement et des gyroscopes plus sensibles, capables d’enregistrer même les plus petites résonances des haut-parleurs.

Identification à l’oreille !

L’identification du sexe de l’appelant sur le OnePlus 7T variait de 77,7 % à 98,7 %, la classification de l’identification de l’appelant variait de 63,0 % à 91,2 % et la reconnaissance vocale variait de 51,8 % à 56,4 %. Une chose qui peut réduire l’efficacité d’une attaque EarSpy est le volume que les utilisateurs choisissent pour leurs haut-parleurs. Un volume plus faible peut empêcher l’écoute clandestine par cette attaque de canal latéral.

La reconnaissance vocale – c’est-à-dire l’évaluation de ce qui a été dit – est encore trop imprécise à 56,42 % pour enregistrer complètement les conversations. Cependant, les chercheurs en sécurité supposent que cette tâche pourrait également être maîtrisée avec l’utilisation de meilleurs algorithmes – jusqu’à présent, ce sujet n’a fait qu’effleurer la surface.

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

Smartphone en Russie, bientôt la fin du monde ?

L’association des développeurs de produits high-tech russe s’inquiète d’une probable fin d’utilisation d’Android et iOS Apple en Russie.

La présidente de l’Association des développeurs de produits logiciels nationaux, Natalya Kasperskaya, vient de lancer une alerte qui fait résonnance pour les anciens consommateurs de produits Huawei, interdits par l’Oncle Sam.

Natalya s’inquiète des risques de déconnexion de tous les smartphones en Fédération de Russie sous Android et iOS (Apple).

De son côté, l’éditeur Russe de solutions de cybersécurité Kaspersky est convaincu que la probabilité d’un tel scénario doit être évaluée comme une cybermenace. Comme alternative aux smartphones, Kaspersky a suggéré d’utiliser un ordinateur portable, un téléphone d’ancienne génération (avec bouton à la NOKIA) ou, dans les cas extrêmes, le courrier ordinaire.

Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook

Détection de plusieurs applications malveillantes sur Google Play. De fausses applications qui volent des logins et des mots de passe d’utilisateurs de Facebook. Plus de 5,8 millions d’installations.

Un éditeur photo nommé Processing Photo. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.

Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo, ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.

Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois.

Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna. La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois. Un programme de fitness Inwell Fitness du développeur Reuben Germaine, qui a connu plus de 100 000 installations.

Stealers

Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.

De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications.

Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates. Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe.

Paramètres nécessaires pour voler des noms d’utilisateur et mots de passe

Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d’authentification saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime était connectée à son compte, les Trojans volaient également les fichiers cookies de la session d’authentification pour les envoyer aux pirates.

L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service. Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.

Découverte du cheval de Troie bancaire Android, Ginp.

Le cheval de Troie Ginp est apparu dans le paysage des menaces en juin 2019 en tant qu’outil d’espionnage. Il vise avant tout les données bancaires. Découverte de cette malveillance.

Le logiciel pirate Ginp, encore peu connu, vise banques et données bancaires transitant par votre smartphone et tablette. Un outil malveillant sous Android.

En tant que logiciel malveillant bancaire, Ginp incite ses victimes à fournir des informations personnelles et sensibles, telles que des informations d’identification de connexion en ligne, des codes de sécurité bancaires et même des détails de carte de crédit grâce à des attaques par superposition.

Ginp est un trojan construit à partir de rien et recevant de nouvelles fonctionnalités via un autre cheval de Troie, Anubis.

Une méthode qui a tendance à indiquer des acteurs sélectifs et ciblés.

La liste des cibles indique un intérêt évident pour les banques espagnoles. Du moins, pour le moment.

Un total de 24 cibles uniques pour 7 banques différentes. Bien que les objectifs se concentrent sur les institutions espagnoles, la structure utilisée par le ou les auteurs semble indiquer un élargissement possible des objectifs à d’autres pays. Il serait même étonnant que ces pirates n’agissent pas de la sorte.

Ginp est peut-être un test, voir un leurre.

C’est déjà le deuxième nouveau cheval de Troie bancaire découvert cette année. Des logiciels espion qui commencent par une focalisation claire sur des banques européennes.

Étonnante envie et intérêts à commettre une fraude en Europe.

L’attaque par superposition fonctionne toujours en deux étapes: voler les identifiants bancaires et les détails de carte de crédit, maximisant ainsi les chances de recueillir des informations personnelles précieuses auprès des victimes.

The Reat Fabric revient sur ce piège numérique dans une analyse complète qui sera diffusée ce 21 novembre.

Nouvelle tactique furtive de faux-clics publicitaires dans des apps du Google Play Store

Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.

Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.

Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.

Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.

Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.

L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.

Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)

Mobile Malware Report – Une application malveillante toutes les 8 secondes

Les experts en sécurité de G DATA ont compté plus de 10 000 nouvelles applications malveillantes chaque jour au cours du premier semestre 2019. Près de 2 millions de nouvelles applications malveillantes au cours des six premiers mois de 2019. En moyenne cela représente une application infectée pour Android qui apparaît toutes les huit secondes.

Le nombre de nouvelles applications malveillantes pour les appareils Android a légèrement diminué au premier semestre 2019. Alors que les experts de G DATA avaient comptabilisé plus de 2 millions d’applications infectées entre janvier et juin 2018, ils en ont trouvé 1,85 million cette année. « Le risque pour les smartphones et autres appareils mobiles reste très élevé « , déclare Alexander Burris, chercheur mobile en chef chez G DATA. « Parce que les smartphones sont devenus des compagnons indispensables, ils sont une cible attrayante pour les cybercriminels. Les logiciels publicitaires ou de rançon, qui nuisent directement à l’utilisateur, sont particulièrement lucratifs. » Fin juin, le nombre total d’applications malveillantes connues s’élevait à près de 94,2 millions.

Trop de versions d’Android

Le potentiel de menace toujours élevé d’Android est favorisé par la forte fragmentation du système d’exploitation. Actuellement, seulement 10 % du parc Android dispose de la dernière version 9. Quant à Android 8 – Oreo – il est seulement utilisé sur 28 % des appareils en circulation. Cela signifie que près de 60 % des appareils utilisent encore des versions datant d’avant août 2017, autrement dit qui sont totalement obsolètes.

Le label Android One de Google tend à corriger ce problème. En optant pour un smartphone portant ce label, l’acheteur est assuré que son appareil recevra les mises à jour du système pendant 2 ans.

L’annonce de la conversion d’une grande partie de l’infrastructure de mise à jour vers la nouvelle version Android Q et de la mise à jour des composants du système indépendamment des surcouches des fabricants permet également d’espérer que le problème des mises à jour sera résolu à terme.

Appareils obsolètes et imports bon marché

Les systèmes d’exploitation et les smartphones obsolètes qui n’ont pas les correctifs les plus récents permettent aux pirates d’installer facilement des logiciels malveillants sur l’appareil. Les raisons de cette situation sont doubles : soit il n’y a pas de mises à jour pour l’appareil, soit les clients ne les installent pas. Mais il peut également arriver que des appareils bon marché importés d’Asie soient vendus avec des logiciels malveillants préinstallés. Ces logiciels malveillants, principalement des spywares, permettent au constructeur malhonnête de récolter des informations sur l’utilisateur et de monétiser ce client par l’affichage de publicités ou l’installation d’applications à son insu. Bref, un logiciel de supervision destiné aux DSI peut faire parti de l’arsenal pour surveiller les installations « bancales ».

Haro sur le Google Play

Depuis quelques mois, le Play store ne fait plus recette auprès des gros éditeurs. Epic Games avait lancé les hostilités l’ année dernière en choisissant de ne pas  sortir son application Android sur la plateforme d’applications de Google. D’autres, tels que Tinder ou Netflix ont fait le choix de détourner le paiement vers leur propre boutique. La commission de 30 % demandée par Google ne passe plus… Si une telle tendance se confirmait, l’émergence de plateformes parallèles pourrait devenir une opportunité pour les cybercriminels.

Des pertes en millions

SimBad, Operation Sheep et Agent Smith sont trois exemples qui illustrent le succès des cybercriminels. 150 millions d’utilisateurs auraient une application Android avec le malware SimBad installé. La deuxième campagne de malware réussie est connue sous le nom d’Operation Sheep. Les applications infectées ont été téléchargées plus de 111 millions de fois. Toutes les applications se trouvent principalement dans les boutiques d’applications tierces. L’agent Smith est le nom de la troisième grande campagne. Elle a infecté 25 millions de smartphones en Asie. Une fois installé, l’agent remplace les applications par des clones infectés afin qu’ils affichent de la publicité. Bref, La transformation numérique des organisations doit prendre en compte ce genre de malveillance.

Une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.

La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.

Google corrige 3 failles critiques : l’une d’elle permet de piéger une image

Google a corrigé une faille critique dans son système d’exploitation Android. La faille permettait à un pirate d’envoyer un fichier image PNG spécialement conçu pour pirater un périphérique cible.

PNG dangereux ?! Le nombre total de problèmes critiques corrigés en ce mois de février 2019 est de 11. Le géant de la technologie a traité un total de 42 problèmes, dont 30 ont été classés comme graves.

Parmi les failles, trois vulnérabilités critiques CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988 corrigées.

Elles affectent des millions d’appareils Android exécutant des versions du système d’exploitation Google, allant d’Android 7.0 Nougat à la dernière Android 9.0 Pie. Google a corrigé les trois vulnérabilités du projet Open Source Android (AOSP) dans le cadre de ses mises à jour de sécurité Android en ce mois de février 2019. Même si Google a corrigé les failles, chaque fournisseur devra distribuer le correctif pour ses modèles et ce processus sera long, très long !

Les chercheurs de Google n’ont pas fourni de détails techniques sur les failles, le géant de la technologie a seulement indiqué que les mises à jour de sécurité traitaient une « faille de dépassement de mémoire tampon », « d’erreurs dans SkPngCodec » et de vulnérabilités dans certains composants générant des images PNG.

Pour finir, selon l’avis de sécurité publié par Google, la plus grave des trois vulnérabilités pourrait permettre la création d’une image piégée, au format PNG. Image malveillante qui peut exécuter du code arbitraire sur les appareils Android vulnérables. Les experts ont souligné qu’un attaquant pourrait exploiter cette faille en incitant les victimes potentielles à ouvrir un fichier image PNG malicieusement conçu sur leur Android.

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

Triout, un espion dans votre smartphone

Triout, un nouveau logiciel espion s’attaque aux appareils sous Android.

Triout, l’espion 2.0 ! Aucun système d’exploitation n’est à l’abri des logiciels malveillants. Les cybercriminels voudront toujours voler, espionner ou manipuler vos données. La prolifération des appareils Android – des smartphones aux tablettes et aux téléviseurs intelligents – ouvrent des nouvelles « voix » aux développeurs de logiciels malveillants. Ces appareils contiennent des micros, des caméras et un gps.

Premièrement, les chercheurs de Bitdefender identifient un nouveau logiciel espion Android, baptisé Triout. Trouvé avec une application reconditionnée, les capacités de surveillance de ce logiciel espion consiste à masquer sa présence sur l’appareil. Il va ensuite enregistrer des appels téléphoniques. Copier les SMS. Recoder les vidéos. Prendre des photos. Recueillir des coordonnées GPS.

Ensuite, il est intéressant de noter que Triout apparaît pour la première fois en Russie. La plupart des analyses/rapports proviennent d’Israël. La première apparition de l’échantillon date du 15 mai 2018, sur VirusTotal.

Enfin, l’analyse du logiciel espion indique que Triout a la capacité d’enregistrer chaque appel téléphonique. La conversation se retrouve sous la forme de fichier multimédia. L’information est communiquée au C&C avec l’identifiant de l’appareil. L’espion enregistre chaque SMS entrant (corps SMS et expéditeur SMS). Il a la possibilité d’envoyer tous les journaux d’appels. Chaque photo prise par l’appareil piégé, caméra avant ou arrière, est envoyée au C&C.

Skygofree : un puissant logiciel de surveillance pour Android

Skygofree : des chercheurs ont découvert un implant mobile avancé, actif depuis 2014 et conçu pour une cybersurveillance ciblée, peut-être afin de constituer un produit de « sécurité offensive ». Cet implant, nommé Skygofree, comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés. Le spyware se propage à travers des pages web imitant celles de grands opérateurs mobiles.

Skygofree est un logiciel-espion élaboré, à plusieurs modules, qui permet à des pirates de prendre totalement le contrôle à distance d’un appareil infecté. N’ayant cessé d’évoluer depuis la création de sa première version fin 2014, il est désormais capable d’intercepter les conversations et les bruits ambiants lorsque l’appareil infecté se trouve à un endroit donné, une fonctionnalité jamais vue jusque-là. Parmi les autres capacités avancées et inédites figurent des services d’accessibilité permettant de pirater des messages WhatsApp ou encore la possibilité de connecter l’appareil infecté à des réseaux Wi-Fi contrôlés par des individus malveillants.

Un logiciel espion très élaboré qui prend totalement le contrôle de l’appareil infecté.

L’implant exploite diverses vulnérabilités pour obtenir un accès root. Il peut également prendre des photos et des vidéos. Capturer des appels. Voler des SMS. Lancer une géolocalisation de l’appareil, des événements de l’agenda voire des informations professionnelles stockées en mémoire. Une fonction spéciale permet de contourner une technique d’économie de la batterie employée par un grand fabricant : l’implant s’ajoute alors à la liste des « applications protégées » de façon à ne pas être désactivé automatiquement lorsque l’écran est éteint.

Les pirates paraissent également s’intéresser aux utilisateurs Windows et les chercheurs ont découvert un certain nombre de modules développés récemment et ciblant cette plate-forme.

La plupart des pages web factices servant à répandre l’implant ont été enregistrées en 2015 alors que, selon les données télémétriques de Kaspersky Lab, la campagne de diffusion était à son paroxysme. La campagne est toujours en cours et le domaine le plus récent a été enregistré en octobre 2017. Les données indiquent plusieurs victimes à ce jour, toutes en Italie.

« Un malware mobile avancé est très difficile à identifier et à bloquer, et les développeurs qui se cachent derrière Skygofree en ont clairement tiré profit, en créant et faisant évoluer un implant capable d’espionner largement ses cibles sans éveiller les soupçons. Les éléments que nous avons découverts dans le code malveillant et notre analyse de l’infrastructure nous portent à croire avec un haut degré de certitude que les auteurs des implants Skygofree travaillent par une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam », commente Alexey Firsh, analyste en malware spécialisé dans l’étude des attaques ciblées chez Kaspersky Lab.

Pour s’en protéger, être attentifs aux emails entrants, et équipés de logiciels de sécurité.

Les chercheurs ont identifié 48 commandes différentes pouvant être mises en œuvre par les pirates, pour un maximum de souplesse d’utilisation.

Pour assurer la protection contre la menace des malwares mobiles avancés, Kaspersky Lab recommande vivement l’installation d’une solution de sécurité fiable, capable d’identifier et de bloquer ces menaces sur les appareils des utilisateurs. Les utilisateurs sont en outre invités à faire preuve de prudence lorsqu’ils reçoivent des e-mails provenant de personnes ou d’entreprises inconnues ou comportant des demandes ou pièces jointes inattendues et de toujours vérifier à deux fois l’intégrité et l’origine des sites web avant de cliquer sur des liens. En cas de doute, mieux vaut contacter l’exploitant du site pour en avoir le cœur net. Les administrateurs système, pour leur part, doivent activer le contrôle des applications dans leur solution de sécurité mobile afin de maîtriser les programmes potentiellement dangereux vulnérables à cette attaque.

Kaspersky Lab détecte les versions de Skygofree sur Android sous HEUR:Trojan.AndroidOS.Skygofree et HEUR:Trojan.AndroidOS.Skygofree.b, et les versions Windows sous UDS:DangerousObject.Multi.Generic.

De plus amples informations, notamment la liste des commandes de Skygofree, les indicateurs d’infection (IoC), les adresses des domaines et les modèles d’appareils ciblés par les modules de l’implant, consultez le site Securelist.com.

Notes

Skygofree est nommé ainsi parce que le mot a été utilisé dans l’un des domaines. Le malware n’a rien à voir avec Sky, Sky Go ou une quelconque filiale de Sky, et n’affecte pas le service ou l’application Sky Go.

Android et macOS, des cybercriminels s’invitent dans des applications

Découverte de deux nouvelles menaces, l’une agissant sous macOS et l’autre sous Android. Le malware sous macOS a fait 1 000 victimes. Quant à la menace sous Android, plus de 5 500 téléchargements ont été effectués.

Un malware s’invite dans les macOS. Si son impacte est encore légére, la cyberattaque présage un avenir plus mouvementé pour les utilisateurs de Mac et Android. Selon les chercheurs de l’éditeur d’antivirus ESET, une application créée par l’éditeur Eltima a été infiltrée par des pirates. Mission, diffuser un code malveillant. Environ 1 000 utilisateurs, clients de l’éditeur de solutions de sécurité informatique, auraient été infectés par le kit OSX/Proton, disponible sur les marchés underground.

Les applications Elmedia Player (lecteur multimédia) et Folx® (gestionnaire de téléchargement) sont concernées. OSX/Proton est une backdoor qui possède de nombreuses fonctionnalités et permet de récupérer, par exemple, les détails de l’OS comme le numéro de série de l’appareil, nom complet de l’utilisateur actuel ; les informations provenant des navigateurs : historique, cookies, marque-pages, données de connexion. Un outil qui vise à collecter des informations sur les portefeuilles de cryptomonnaie pouvant être disponible sur les appareils infiltrés. Proton exfiltre aussi le trousseau macOS grâce à une version modifiée de chainbreaker ; la configuration du VPN Tunnelblick ainsi que les données GnuPG (chiffrement de mails) et de 1password (gestionnaire de mots de passe).

Cryptomonnaie : une version compromise de Poloniex sur Google Play

Avec plus de 100 cryptomonnaies au compteur, Poloniex est l’un des principaux sites d’échange de cryptomonnaie au monde. Les cyberpirates ont profité du fait qu’il n’y ait pas d’application officielle de Poloniex pour développer deux versions malicieuses. En plus de récolter les identifiants de connexion à Poloniex, les cybercriminels incitent les victimes à leur accorder l’accès à leur compte Gmail. Les pirates peuvent ensuite effectuer des transactions depuis le compte de l’utilisateur et effacer toutes les notifications de connexions et de transactions non autorisées depuis la boîte de réception. La première des applications malveillantes se nomme « POLONIEX » et a été installée 5 000 fois, malgré les avis négatifs. La deuxième application, « POLONIEX EXCHANGE », a été téléchargée 500 fois avant d’être retirée du Google store.

BankBot, un cheval de Troie s’est faufilé dans Google Play

Le cheval de Troie BankBot a été injecté dans des applications utilisées quotidiennement, compromettant ainsi les applications bancaires des utilisateurs à leur insu.

L’équipe de recherches de menaces mobiles d’Avast a récemment collaboré avec des chercheurs d’ESET et de SfyLabs pour examiner une nouvelle version de BankBot, un logiciel malveillant (malware) d’application mobile bancaire qui s’est inséré dans Google Play à de nombreuses reprises cette année. Il cible ainsi les applications de banques telles que WellsFargo, Chase, DiBa et Citibank, ainsi que leurs utilisateurs en France, aux États-Unis, en Australie, en Allemagne, aux Pays-Bas, en Pologne, en Espagne, au Portugal, en Turquie, en Grèce, en Russie, en République dominicaine, à Singapour et aux Philippines.

Au cours d’une première campagne, cette nouvelle version de BankBot s’est cachée dans des applications à priori fiables pour inciter les utilisateurs à les télécharger. Une seconde campagne a ensuite ciblé des jeux de Solitaire et une application de nettoyage, qui ont diffusé d’autres types de malwares appelés Mazar et Red Alert. Cependant, au lieu de divertir ou d’aider leurs utilisateurs, ces applications les espionnent, collectent leurs coordonnées bancaires et volent leur argent.

Google a supprimé les versions antérieures des applications BankBot du Play Store en quelques jours. Cependant, plusieurs versions sont restées actives jusqu’au 17 novembre, un délai suffisant pour que ces applications infectent des milliers d’utilisateurs.

Google a mis en place des mesures de numérisation et de validation pour toutes les applications soumises au Play Store, afin de s’assurer qu’aucun programme malveillant n’y soit disponible. Mais dans leurs dernières campagnes, les auteurs des applications bancaires mobiles de type cheval de Troie ont commencé à utiliser des techniques avancées pour contourner ces détections automatisées. Les activités malveillantes commencent alors deux heures après que l’utilisateur a donné des droits d’administrateur à l’application. En outre, ils ont publié des applications sous différents noms de développeurs, une technique souvent utilisée pour contourner les contrôles de Google.

Ces activités malveillantes comprennent aussi l’installation d’une fausse interface utilisateur, qui se place sur l’application bancaire lorsque l’utilisateur l’ouvre. Dès que les coordonnées bancaires sont saisies, elles sont donc collectées par le criminel. De plus, dans certains pays, les banques utilisent des numéros d’authentification de transaction (ou TAN, transaction authentication number), une forme d’authentification à deux facteurs nécessaire pour effectuer des transferts en ligne, souvent utilisée par les banques européennes. Les auteurs de BankBot interceptent le message texte de leurs victimes qui inclut le TAN mobile, ce qui leur permet d’effectuer des virements bancaires pour le compte de l’utilisateur.

« Une nouvelle version du cheval de Troie BankBot a été ajoutée à Google Play en octobre et en novembre, déguisée en lampe de poche, en jeux et en applications de nettoyage, assure Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security chez Avast. Les cybercriminels ciblent environ 160 applications bancaires aux États-Unis, en Amérique latine, en Europe et dans la région Asie-Pacifique. Bien que Google supprime rapidement les programmes malveillants de Google Play, le problème est que les applications infectées par le cheval de Troie BankBot ont été en mesure de contourner ses contrôles de sécurité. Il est essentiel que les utilisateurs installent une application de sécurité sur leur téléphone pour les protéger de BankBot et d’autres chevaux de Troie bancaires. Ils doivent également être vigilants lorsqu’ils utilisent une application bancaire et rechercher des modifications inhabituelles à l’interface de l’application. L’ajout d’une sécurité supplémentaire, avec une authentification à deux facteurs lors de la connexion, est également conseillé. Les utilisateurs ne doivent compter que sur les app stores reconnus et de confiance pour télécharger des applications. Même si le malware était présent dans Google Play, son deuxième composant, la charge utile des logiciels malveillants, a été téléchargé à partir d’une source externe. » (Par Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security chez Avast, Niels Croese, CTO chez SfyLabs, et Lukas Stefanko Malware, Analyst chez ESET)

Le spyware Igexin infecte plus de 500 app mobiles sur Google Play

Les applications infectées par Igexin ont été téléchargées plus de 100 million de fois dans l’écosystème Android.

L’équipe de recherche de Lookout, le leader mondial de la sécurisation de la mobilité vient d’annoncer dans un article de blog la mise à jour d’un SDK publicitaire appelé Igexin qui a infecté plus de 500 applications mobiles légitimes du portail Google Play afin de permettre l’installation d’un spyware sur les smartphones et tablettes.

Igexin permettait d’installer sur les appareils un plugin espionnant les actions des utilisateurs et, l’équipe de spécialistes en sécurité mobile de Lookout confirme que ce sont au moins 500 applications Android qui sont concernées et que celles-ci ont été téléchargées plus de 100 millions de fois dans l’écosystème Android.

Les applications android concernées incluaient des jeux (dont l’un téléchargé plus de 50 millions de fois), des applications météorologiques (dont une téléchargée plus de 1 million de fois), des webradios, des éditeurs de photographie (dont l’un téléchargé plus de 1 million de fois) ou encore des applications utilitaires.

L’équipe de spécialistes en sécurité mobile de Lookout a notamment observé le téléchargement de fichiers chiffrés depuis Igexin permettant l’installation a posteriori de malwares en contournant les mécanismes de surveillance habituels détectant la présence de logiciels malveillants dans les applications disponibles sur le portail de Google Play.

Les utilisateurs de Lookout sont protégés de ce spyware. Lookout a informé Google des fonctionnalités d’Igexin, et les applications ont été enlevées du portail Google Play, ou remplacées par des versions mises à jour ne contenant ce spyware invasif. Plus de renseignements sur Igexin peuvent être retrouvés dans l’article de blog.

Cybercriminalité 2017 : personne n’est épargné

Cybercriminalité : 6 mois après la publication de ses prédictions pour l’année 2017, ESET® revient sur les tendances essentielles. La multiplication des attaques sur mobiles et IoT, la prise de contrôle des infrastructures critiques, la protection de la vie privée des utilisateurs, les cybermenaces sur le secteur de la santé et l’élargissement des cyberattaques aux gamers. En voici un extrait.

Cybercriminalité et mobiles ! Sur la plateforme Android, de janvier à mai 2017, 255 failles de sécurité ont été découvertes. Il s’agit de près de la moitié du nombre total de failles de l’année 2016. Pour les codes malicieux, 300 nouveaux échantillons de malwares Android sont découverts en moyenne chaque mois […]. De plus, 224 failles de sécurité ont été signalées en mai 2017 sur la plateforme iOS, soit 63 de plus qu’en 2016. Parmi elles, 14% sont considérées comme critiques.

Les infrastructures critiques de type SCADA

Cybercriminalité et l’augmentation et la sophistication d’attaques sur des infrastructures critiques. Le malware Industroyer découvert par ESET au mois de juin en est un parfait exemple. […] ESET précise que les infrastructures critiques ne se limitent pas aux réseaux électriques. À l’ère du numérique, elles englobent de plus en plus les systèmes d’ingénierie tels que les chaînes d’approvisionnement et Internet lui-même.

Protéger la vie privée des utilisateurs, un enjeu mondial

2018 protègera davantage les données des utilisateurs. Grâce au RGPD (GDPR en anglais), ils pourront jouir de leur droit à l’oubli et supprimer/gérer les informations les concernant. Parallèlement, la Chine a également adopté une nouvelle loi […]. Ainsi, de nombreux efforts sont faits à l’échelle internationale afin de légiférer les droits des utilisateurs concernant leur vie privée.

La santé, secteur cible numéro 1

La transformation digitale du secteur de la santé attiret les cybercriminels. Doit-on s’inquiéter du traitement de nos données par les professionnels de santé ? […] En 2017, certains hôpitaux européens notamment du Royaume-Uni (dont 48 services de santé publics) ont dû suspendre leurs services et quelques dispositifs médicaux suite à l’infection de leurs systèmes par des malwares.

L’industrie du jeu vidéo

Les ressources, informations et profils des joueurs sont devenus de plus en plus précieux. Outre les trafics internationaux de comptes volés appartenant à des joueurs et l’obtention de monnaie virtuelle de manière frauduleuse […] ESET a découvert un nouveau type de ransomware, le rensenware : au lieu d’exiger une rançon financière pour récupérer les fichiers chiffrés, il demande à la victime de jouer à un jeu vidéo japonais jusqu’à obtenir un score élevé, le niveau « lunatic ».

CopyCat : 14 millions de terminaux Android infectés, 1 million de revenus en 2 mois

La Research Team de Check Point vient d’identifier un tout nouveau malware – CopyCat – qui a infecté 14 millions de terminaux Android, dont 8 millions ont subi un « rootage », ce qui permet à l’attaquant d’obtenir des accès système qu’un utilisateur lambda ne possède pas (contrairement à un administrateur par exemple). 

Cette cyberattaque a permis aux cybercriminels de récolter 1,5 millions de dollars, en deux mois, grâce à de la publicité malveillante. CopyCat utilise une toute nouvelle méthode pour générer et voler des revenus issus de la publicité.
Le logiciel malveillant, baptisé CopyCat par les chercheurs utilise une nouvelle technique pour générer et voler des revenus publicitaires. Alors que les utilisateurs infectés par CopyCat sont principalement en Asie du Sud-Est, CC a touché plus de  280 000 utilisateurs d’Android aux États-Unis.
CopyCat est un logiciel malveillant entièrement développé avec de vastes fonctionnalités, y compris des dispositifs d’enracinement, l’établissement de la persistance et l’injection de code dans Zygote – un démon responsable du lancement d’applications dans le système d’exploitation Android – qui permet aux logiciels malveillants de contrôler toute activité sur le périphérique.
CopyCat est une vaste campagne qui a infecté 14 millions d’Android dans le monde, et piégeant 8 millions d’entre eux, dans ce que les chercheurs décrivent comme un taux de réussite sans précédent. Les chercheurs de Check Point estiment que le malware a généré 1,5 million de dollars pour le groupe derrière la campagne.

Des publicités malveillantes détectées sur Android

Publicités malveillantes dans votre smartphone ! Il y a quelques jours, l’équipe du Threatlabz Zscaler a identifié une application Android se téléchargeant d’elle-même à partir de publicités postées sur des forums. Le malvertising est un problème qui ne cesse de prendre de l’ampleur. Ces publicités se retrouvent principalement sur des sites SSL à visée malveillante. Sur l’un de ces forums baptisé « GodLike Productions », les visiteurs se sont plaint d’une application se téléchargeant automatiquement mais leurs messages ont été supprimés ou ignorés par les administrateurs permettant à la situation de se perpétuer. Dans ce cas particulier, l’App se présente sous la forme d’une « mise à jour sécurité » afin que l’utilisateur termine son installation.

Une fois le package APK téléchargé et installé, l’application se présente sous le nom de « KS Clean », une application de nettoyage Android. L’application affiche ensuite un faux message de mise à jour système où la seule option possible est de cliquer sur le bouton « OK » forçant ainsi l’usager à accepter le message.

Dès que ce dernier accepte, le malware lance l’installation d’un autre APK nommé Update. Lorsqu’elle est ouverte, l’App Update demande les droits d’administration. Une fois les droits obtenus, il est impossible de désinstaller l’application de l’appareil car un utilisateur ne peut pas supprimer une app ayant des droits d’administration. Habituellement, il est possible de retirer les privilèges à l’application dans les paramètres mais dans ce cas de figure, l’app se fait passer pour un récepteur Android pour garder ses privilèges.

Cette vidéo (activer les sous-titres en amont) montre la manière dont le téléphone se bloque lorsque la victime essaie de retirer les privilèges administrateur de l’application.

Cette App est capable de :

  • Lire/Ecrire l’historique
  • Installer/Désinstaller des fichiers système
  • Changer les permissions
  • Télécharger sans autorisation

L’application effraie l’utilisateur en lui faisant croire qu’il y a une faille de sécurité sur son appareil et qu’il doit faire une mise à jour pour éviter de perdre ses informations personnelles. Lorsqu’elle est installée, l’App ne peut plus être supprimée et le malware peut pousser des publicités même si une autre App est déjà lancée. Les utilisateurs Android peuvent prendre les mesures suivantes pour éviter d’être atteints par cette menace :

  • Ne pas cliquer sur des liens inconnus
  • Désactiver les « sources inconnues »
  • Désactiver le téléchargement automatique dans les navigateurs Android

Dvmap : Un nouveau Trojan Android téléchargé 50 000 fois

Des experts ont découvert un nouveau Trojan peu commun, qui se propage via Google Play Store sous la forme d’un jeu.

Baptisé Dvmap, ce Trojan est non seulement capable d’obtenir les droits d’accès root de n’importe quel smartphone Android, mais il peut également prendre le contrôle de l’appareil en injectant un code malveillant dans la bibliothèque système (system library). Si l’attaque réussit, il supprime l’accès root, ce qui lui permet de ne pas être détecté. Ce Trojan a été téléchargé depuis Google Play plus de 50 000 fois depuis mars 2017.

Kaspersky Lab a signalé ce Trojan à Google, qui l’a depuis retiré de sa marketplace.

Pour contourner les contrôles de sécurité de la plate-forme, les créateurs du malware ont mis en ligne une application saine à la fin du mois de mars 2017. Ils l’ont ensuite mise à jour avec une version malveillante pendant une courte période, avant de remettre en ligne une version saine. En seulement 4 semaines, ils ont réalisé cette opération au moins 5 fois.

« Le Trojan Dvmap marque un nouveau développement des malwares Android. Le code malveillant s’injecte directement dans les bibliothèques système, où il est plus difficile à détecter et supprimer. Nous pensons avoir découvert le malware à un stade très précoce . Notre analyse montre que les modules malveillants rendent compte de leurs moindres mouvements aux attaquants et certaines techniques peuvent entrainer une panne des appareils infectés. Il n’y a pas de temps à perdre si nous voulons éviter une attaque de grande envergure, » explique Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.

Pour en savoir plus, consultez le rapport complet de Kaspersky Lab : https://securelist.com/78648/dvmap-the-first-android-malware-with-code-injection/

En 2016, les ransomwares sous Android ont augmenté de plus de 50%

Sur l’ensemble des logiciels malveillants détectés en 2016, la catégorie des ransomwares a augmenté de plus de 50% par rapport à 2015, le plus fort taux de menaces enregistré.

Ransomwares et compagnie ! Au total, il a constaté une augmentation de près de 20% des logiciels malveillants (tous confondus) sous Android en un an. Sur cette plateforme, les ransomwares sont ceux qui se sont le plus développés. Selon le FBI (1), cette menace aurait rapporté jusqu’à 1 milliard de dollars aux cybercriminels l’année dernière. Avec une forte augmentation au cours du premier semestre 2016, « Nous pensons que cette menace ne disparaîtra pas de sitôt« , déclare Juraj MALCHO, Chief Technology Officer chez ESET.

Au cours des 12 derniers mois, les cybercriminels ont reproduit des techniques identiques à celles utilisées pour la conception de malwares infectant des ordinateurs, afin de concevoir leurs propres logiciels malveillants sur Android : écran de verrouillage, crypto-ransomwares… Ainsi, ils ont réussi à développer des méthodes sophistiquées permettant de cibler uniquement les utilisateurs des différentes versions de cette plateforme.

En plus d’utiliser des techniques d’intimidation comme le « Police ransomware (2) », les cybercriminels chiffrent et cachent la charge utile malveillante sous l’application compromise, afin de rendre sa présence indétectable.

D’après les observations d’ESET, les ransomwares sous Android se concentraient sur l’Europe de l’EST puis sur les États-Unis en 2015, avant de migrer vers le continent asiatique en 2016. « Ces résultats montrent la vitesse de propagation de cette menace, active à l’échelle mondiale », ajoute Juraj MALCHO.

(1) http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/index.html

(2) Police ransomware : fraude en ligne utilisée pour extorquer de l’argent. Le logiciel malveillant affiche un message demandant le paiement d’une somme d’argent afin de récupérer l’accès à sa machine. Pour intimider l’utilisateur, le message prétexte un comportement illégal de la part de l’utilisateur et utilise des symboles de l’autorité nationale pour contraindre la victime à effectuer le paiement.

Android domine le secteur et concentre les menaces informatiques

Menaces informatiques – Dans son rapport semestriel, G DATA fait un bilan des dangers ciblant les systèmes mobiles. Android, présent dans 68 % des appareils mobiles dans le monde, est en première ligne. Au-delà des malwares, les utilisateurs sont également ciblés par des campagnes de publicité dangereuses.

Vous vous demandiez ce qu’étaient des menaces informatiques dans le monde du mobile ? Les experts sécurité de G DATA ont identifié 1 723 265 nouveaux échantillons de codes malveillants ciblant Android durant le premier semestre 2016. Ceci représente une augmentation de 29 % comparé au semestre précédent (1 332 839). En moyenne, 9 468 nouveaux dangers sur le système Android apparaissent chaque jour.

Menaces informatiques  – Le malvertising en croissance sur mobile

Si l’attaque « FakeAV », qui consiste à faire installer de faux antivirus payants, n’est plus très courante sous Windows, elle le devient sous Android. En pratique, lors de la navigation Internet avec une tablette ou un smartphone, des fenêtres pop-up alarment l’utilisateur de la supposée présence de virus sur l’appareil et les conduisent vers le téléchargement d’application de nettoyage, d’optimisation ou de faux antivirus. Techniquement, ces systèmes de pop-up détectent le système utilisé pour la navigation et affichent la fenêtre adéquate. Ainsi, sur un même site, un internaute sous Windows voit une page différente de l’internaute sous Android. Différents scénarios sont alors possibles. Sous Windows, les publicités légitimes côtoient les tentatives d’arnaque à l’appel téléphonique surtaxé. Sous Android, la majorité des campagnes pointent vers le téléchargement d’applications sur le Play Store.

Pay Per Install à la sauce FUD

Le Pay Per Install est un instrument marketing qui permet aux fournisseurs d’application de distribuer plus rapidement leur logiciel à l’aide de publicité. Plus l’application est téléchargée, plus elle devient visible dans le store, attirant ainsi encore plus d’utilisateurs. Différents prestataires se sont spécialisés dans ces méthodes marketing, mais tous n’utilisent pas des méthodes légitimes. Les campagnes de malvertising qui ciblent les appareils Android en sont un exemple frappant. La technique du FUD (Fear, uncertainty and doubt) y est largement pratiquée : en utilisant des pop-up mensongers sur l’état de protection de l’appareil, ces prestataires peu scrupuleux attirent les utilisateurs inquiets vers des applications à l’utilité discutable, voire vers de véritables arnaques. Le rapport complet.

Code malveillant bancaire pour Android

Code malveillant bancaire pour Android – L’équipe de recherche en sécurité de Zscaler a découvert une application malveillante Android se faisant passer pour l’app officielle de Sberbank, la plus grande banque d’Europe de l’Est.

code malveillant bancaire pour Android – De nombreuses tentatives de cyberattaques à son encontre ont déjà eu lieu par le passé et les pirates ont également essayé de s’attaquer à ses clients depuis leurs mobiles. Cette dernière tentative constitue, cependant, une percée majeure dans les efforts des pirates visant à nuire à cette organisation.

Le malware se fait passer pour l’application en ligne de la plus grande banque de Russie, Sberbank. Son apparence est identique à celle de l’application d’origine. Elle affiche un écran de connexion similaire et se sert de celui-ci pour dérober les informations d’identification de l’utilisateur dès que la victime tente de s’authentifier.

Une fois les informations d’identification acquises, l’app affiche une page d’erreur technique et se ferme. Le malware demande alors des privilèges d’administrateur qui, s’ils sont accordés, entraînent des effets dévastateurs sur le terminal infecté. Il peut intercepter les SMS et les appels entrants, ce qui permet au pirate de contourner l’identification OTP (mot de passe à usage unique) mise en œuvre par la banque. Par ailleurs, les faux écrans utilisés peuvent se superposés à ceux d’autres applications connues.

Explication technique de ce code malveillant bancaire pour Android

L’app apparaît comme étant celle de la banque Sberbank et demande des privilèges administrateurs une fois installée, comme indiqué ci-dessous : l’équipe Zscaler a tenté d’installer l’application originale Sberbank à partir du Play Store Google, et il est difficile de différencier l’app malveillante de l’originale. A noter : l’app Sberbank se trouvant sur le Play Store n’est pas infectée. Ce qui fait la particularité de ce malware est sa capacité à se substituer entièrement à l’app originale. Quand bien même la victime tenterait de la lancer, se serait l’écran d’identification du malware serait qui s’afficherait. Une fois les informations d’authentification entrées, elles sont envoyées à un serveur C&C. L’app affiche alors un écran d’erreur et se ferme.

Le malware ne s’arrête pas là, il peut également envoyer des SMS à n’importe quel numéro, selon la volonté du pirate ; intercepter des SMS ; lancer un appel ; intercepter un appel et d’attaquer d’autres applications en s’y superposant.

En ce qui concerne sa capacité à se substituer à une autre application, ce malware a été conçu, entre autres, pour attaquer les apps suivantes : Whatsapp, l’app du Google Play Store, VTB 24 Bank. Les fausses pages de login utilisées sont identiques à celles des apps officielles. Une fois lancées, les informations d’identification récupérées sont envoyées au serveur C&C comme vu précédemment.

Une nouvelle tendance chez les développeurs de malware, et des amateurs de code malveillant pour Android est de cibler les utilisateurs par le biais de fonctionnalités de sécurité d’applications. Dans un article précédent, les chercheurs Zscaler avaient présenté des attaques réalisées à partir de fausses applications de sécurité. Dans le cas de Whatsapp, par exemple, les victimes avaient été piégées par une fausse alerte sur la nouvelle fonctionnalité de chiffrement des messages. Un message s’affichait pour demander des informations d’authentification et de paiement pour cette nouvelle fonctionnalité.

Ce code malveillant bancaire pour Android a une approche particulièrement efficace pour rester actif sur l’appareil de l’utilisateur. Il enregistre un récepteur qui se déclenche dès que la victime tente de retirer les privilèges administrateurs de la fausse application. Ainsi, l’appareil Android se retrouve bloqué pour quelques secondes chaque fois qu’une tentative est faite.

Bref, cibler les utilisateurs par le biais de fausses applications bancaires est le moyen le plus facile et privilégié des pirates. Le malware présenté plus haut combine plusieurs fonctionnalités, en une seule et même application, pour une attaque en profondeur. Il est capable de se substituer à n’importe quelle app existante, il suffit au pirate d’envoyer un élément portant le nom de l’app en question pour dérober des données privées au propriétaire de l’appareil.

Le certificat pour cette application infectée a récemment été mis à jour et le serveur C&C a été enregistré il y a peu, ce qui pourrait indiquer que les pirates informatiques ont l’intention de continuer sur leur lancée. Une fois de plus, la prudence est de mise et il faut continuer à télécharger les applications à partir de sources officielles. Toute app provenant d’une tierce partie est à éviter.

Forte hausse des applications Android malveillantes

Les applications Android malveillantes et les ransomwares dominent le paysage des menaces au 1er trimestre 2016.

La société Proofpoint a publie son Rapport trimestriel sur les menaces, qui analyse les menaces, les tendances et les transformations observées au sein de notre clientèle et sur le marché de la sécurité dans son ensemble au cours des trois derniers mois. Chaque jour, plus d’un milliard de courriels sont analysés, des centaines de millions de publications sur les réseaux sociaux et plus de 150 millions d’échantillons de malwares afin de protéger les utilisateurs, les données et les marques contre les menaces avancées. On apprend, entre autres, que 98 % des applications mobiles malveillantes examinées au 1er trimestre 2016 ont ciblé des appareils Android. Cela demeure vrai en dépit de la découverte médiatisée d’un cheval de Troie pour iOS et de la présence persistante d’applications iOS ou officieuses dangereuses. Les applications Android malveillantes sont de plus en plus nombreuses.

75 % des attaques de phishing véhiculées par des e-mails imposteurs comportent une adresse «répondre à » usurpée afin de faire croire aux destinataires que l’expéditeur est une personne représentant une autorité. Ce type de menaces est de plus en plus mature et spécialisé, et c’est l’un des principaux ciblant les entreprises aujourd’hui, qui leur auraient coûté 2,6 milliards de dollars au cours des deux dernières années selon les estimations.

Applications Android malveillantes

Les ransomwares se sont hissés aux premiers rangs des malwares privilégiés par les cybercriminels. Au 1er trimestre, 24 % des attaques par e-mail reposant sur des pièces jointes contenaient le nouveau ransomware Locky. Seul le malware Dridex a été plus fréquent.

L’e-mail reste le principal vecteur de menaces : le volume de messages malveillants a fortement augmenté au 1er trimestre 2016, de 66 % par rapport au 4ème trimestre 2015 et de plus de 800 % comparé au 1er trimestre 2015. Dridex représente 74 % des pièces jointes malveillantes.

Chaque grande marque analysée a augmenté ses publications sur les réseaux sociaux d’au moins 30 %. L’accroissement du volume des contenus générés par les marques et leurs fans va de pair une accentuation des risques. Les entreprises sont constamment confrontées au défi de protéger la réputation de leurs marques et d’empêcher le spam, la pornographie et un langage grossier de polluer leur message.

Les failles de Java et Flash Player continuent de rapporter gros aux cybercriminels. Angler est le kit d’exploitation de vulnérabilités le plus utilisé, représentant 60 % du trafic total imputable à ce type d’outil. Les kits Neutrino et RIG sont également en progression, respectivement de 86 % et 136 %. (ProofPoint)

2,3 millions de nouveaux dangers Android en 2015

Au niveau mondial, 66 % des détenteurs de smartphone utilisent un appareil sous Android. Cette domination du système de Google influe sur le nombre de dangers qui ciblent cette plateforme. En 2015, le chiffre record de 2,3 millions de dangers a été atteint, ce qui représente une augmentation d’environ 50% par rapport à l’année 2014. GDATA propose un aperçu des principaux dangers dans son Mobile Malware Report Q4/2015. Les experts sécurité de G DATA ont recensé 758 133 nouveaux programmes malveillants ciblant Android au cours du 4e trimestre 2015, ce qui représente une hausse de près de 32 % par rapport au trimestre précédent. Sur l’ensemble de l’année 2015, environ 2,3 millions de  nouveaux dangers ont ciblé les systèmes Android.

Une attaque contre les smartphones Android via SMS

Durant plusieurs jours, de faux SMS ont tenté de piéger les utilisateurs de téléphones portables sous Android.

Étonnante attaque informatique découverte par une société belge. Un SMS annonçait la réception d’un fichier multimédia. Un message malveillant diffusé, ces derniers jours, à des milliers de propriétaires de téléphones portables sous Android. Les spécialistes de chez Heimdal n’indiquent pas si l’attaque a visé des populations particulières.

L’idée de cette tentative d’infiltration, inciter le lecteur du SMS à cliquer sur un lien. Le message « You have received a multimedia message from XXXXXX Follow the link XXXXX/mms.apk to view the message« . L’url renvoyait sur plusieurs serveurs piégés, comme mmsforyou. J’ai pu en découvrir plusieurs autres comme adobe-flash-player.

Derrière cette attaque, un fichier .apk, une application piégée. Elle installe une version de « TOR » sur le téléphone. Le code malveillant alerte ensuite son auteur, en Iran (sic!), via un simple message « Thank you« . D’après l’alerte, le pirate « peut alors le contrôler et faire ce qu’il veut.« 

Puzzle Color Blend : histoire d’une application Android piégée

Une application dans le Play Store souscrivait automatiquement des connexions WAP payantes.

Parmi les 1,4 million d’applications dans le Google Play Store, certaines sont à manipuler avec précaution. Il s’agit là de la découverte de G DATA avec Puzzle Color Blend. Après son installation, l’application mettait en place des abonnements WAP payants vers une société néerlandaise. Une nouvelle technique à surveiller à l’avenir.

« Ce type d’attaque par abonnement automatique est nouveau », explique Ralf Benzmüller, directeur de G Data SecurityLabs. « Nous assistons ici à une escroquerie très pointue. La création des nombreux faux avis positifs sur le Play Store et la désactivation automatique des connexions de données au profit de connexions WAP payantes montrent que l’attaque est préparée et techniquement avancée.« 

L’application en question
L’application Puzzle Color Blend en cause est un jeu qui consiste à reconnaître et à sélectionner des bonnes nuances de couleur. Disponible dans le Google Play Store depuis le 3 novembre 2015, il avait été téléchargé plus de 50.000 fois jusqu’à son retrait fin janvier. La similitude avec le jeu Blendoku (téléchargé à 1 million d’exemplaires sur le PlayStore) pourrait expliquer le succès rapide de Color Blend. Les images de l’application affichées par l’éditeur dans le Play Store usurpaient par ailleurs l’interface de Blendoku.

Son action nuisible
Après avoir installé le jeu, les utilisateurs contractaient sans le savoir des abonnements à des services WAP payants. Cette méthode d’abonnement automatique est nouvelle. Les attaques détectées précédemment, utilisant la facturation WAP, résultaient d’une action de l’utilisateur, par l’ouverture d’une bannière web par exemple.

La Suite complète Avast Mobile Security accessible gratuitement

La nouvelle version pour Android propose une nouvelle interface et des fonctionnalités additionnelles pour encore plus de sécurité.

Avast Software, l’éditeur des solutions de sécurité pour PC et mobiles les plus populaires au monde, annonce aujourd’hui la disponibilité de la toute dernière version gratuite de sa solution Avast Mobile Security pour Android, incluant de nouvelles fonctionnalités pour surfer sur le web en toute sécurité ! En plus d’une protection anti-virus accrue grâce à la base de données utilisateur d’Avast, la nouvelle version garantie la sécurité des connexions – y compris sur les réseaux Wi-Fi publics, ainsi qu’un meilleur contrôle des applications en ce qui concerne la gestion des données personnelles.

Parmi les principales fonctionnalités, la nouvelle version Avast Mobile Security inclut :
·         Privacy Advisor – Les mobinautes ne mesurent pas toujours le niveau d’intrusion des applications qui se trouvent sur leurs appareils, ni la nature des données qui sont collectées. Grâce à la fonctionnalité « Privacy Advisor, » l’utilisateur s’informe en un clin d’œil sur les données recueillies par chaque application et peut ainsi contrôler le type d’information communiqué. En outre, l’application alerte l’utilisateur si la manière dont les données collectées par une application présente d’éventuels risques de sécurité.

·         Sécurité Wi-Fi – Grâce à cette fonctionnalité, l’utilisateur identifie rapidement le niveau de sécurité des bornes Wi-Fi. De cette façon, le mobinaute peut évaluer les risques et adapter sa navigation en fonction de ses besoins ou décider de se déconnecter pour ne prendre aucun risque !

·         Verrouillage illimité des applications — Les utilisateurs téléchargent de plus en plus d’applications dont certaines contiennent des données personnelles – comme les applis de messageries ou associées aux réseaux sociaux par exemple. Avec Avast Mobile Security, les utilisateurs peuvent protéger toutes les applications qu’ils souhaitent à l’aide d’un mot de passe, et profitent ainsi d’une protection supplémentaire contre des regards indiscrets, ou en cas de perte ou de vol de leur terminal mobile.

L’application Avast Mobile Security est disponible au téléchargement dès aujourd’hui sur tous les appareils Android via Google Play Store.

Dernier point, n’oubliez jamais que si le produit est gratuit, il y a de forte chance que ce soit vois le produit !

Nouvelles applications malveillantes retirées du Google Play

Des applications malveillantes découvertes en décembre dans la boutique de Google. Des programmes espions pour appareils sous Android.

La boutique Google Play permet de télécharger musiques, films et autres applications. Des programmes pour l’environnement Android, l’un des OS de Google. Un environnement qui plait aux pirates. GData annonçait, l’année dernière, qu’Android voyait apparaître, chaque jour, 4 500 codes malveillants.

En septembre dernier, plusieurs applications avaient été effacées de l’Internet et de la boutique du géant américain. Il avait été découvert un malware, un code pirate qui permettait d’espionner les utilisateurs et utiliser leur appareil pour générer des revenus publicitaires au pirate. Baptisé Brain Test, du nom de l’application pirate, les téléphones et tablettes infiltrés devenaient des aides involontaires malveillants.

Check Point Threat mobile avait détecté plusieurs cas via des clients de la société piégés. Le malware avait été diffusé sous deux formes cumulant 600 000 téléchargements selon les statistiques de Google Play. Alerté le 10 Septembre 2015, Google retirait les APPs le 15 Septembre 2015.

Quatre mois plus tard, treize autres applications piégées disparaissaient après une alerte de LockOut, une autre société spécialisée dans les applications mobiles. Certaines de ces « applis » tentaient d’obtenir les privilèges root, bref souhaitez devenir maître du smartphone [ordiphone] persistez dans les appareils même après le Factory Reset, la mise à zéro d’un appareil sorti d’usine.

Les jeux avaient été installés dans Google Play quelques semaines auparavant. Ils ne contenaient aucun malware. C’est lors d’une mise à jour, fin décembre, que le pot au rose est apparu. Une mise à jour qui rajoutait les commandes pirates dans les applications. Les programmes piégeaient se nommaient Cake Tower, Honey Comb, Cake Blast, jump Planet, Crazy block, Crazy Jelly, Tiny Puzzle, Ninja Hook, Piggy Jump, Just fire, Eat Bubble, Hit Planet, Cake tower 92829 ou encore Drag box.