Ils se déguisent en applis Facebook, Google Now, Snapchat… mais en réalité, ce sont d’horribles adwares. Ils prennent racine dans le système et sont presque impossibles à supprimer.
Il y a un mois, les analystes de FireEye avaient mis au jour
Kemoge, un nouveau type de malware capable de rooter les smartphones
Android pour les inonder de publicités. Cette nouvelle vague s’est
rapidement transformée en déferlement. Les chercheurs en sécurité de
Lookout se sont également penchés sur ce type de code malveillant et ont
trouvé plus de 20.000 échantillons répartis en trois familles :
ShiftyBug (alias Kemoge), Shedun (alias GhostPush) et Shuanet, que
Lookout est le premier à découvrir.
Ces trois familles ne sont pas nécessairement gérées par le même groupe de pirates, mais elles partagent des morceaux de code et des exploits. L’une des principales caractéristiques de ce malware est, en effet, de s’appuyer sur une série de failles plus ou moins connues pour « rooter » le terminal, c’est-à-dire obtenir les privilèges administrateur. L’appli peut alors s’installer en tant qu’application système, ce qui lui assure une persistance dans le temps. « Ils deviennent presque impossible à supprimer, obligeant souvent la victime à remplacer leur appareil pour revenir à un fonctionnement normal », souligne Lookout dans une note de blog.
Ce qui est encore plus perfide, c’est que les pirates
camouflent leur malware avec des applis normales et largement utilisées.
Ils prennent les binaires de Facebook, Snapchat, WhatsApp, GoogleNow,
NYTimes, Candy Crush, Okta, etc., y injectent leur malware puis
diffusent l’appli résultante sur des boutiques applicatives tierces.
L’utilisateur qui se fait berner n’y verra que du feu, car l’appli «
repackagée » conserve les fonctionnalités de l’appli d’origine. Sauf
qu’en arrière-plan se déroule un plan diabolique.
Sur le principe technique, Lookout ne décrit rien de foncièrement nouveau, mais rend compote d’une montée en puissance de ce phénomène. Dans l’analyse de FireEye ne figurait pas d’applis célèbres, mais plutôt de petits utilitaires. Parmi les pays les plus touchés figurent les Etats-Unis, l’Allemagne, l’Iran, la Russie, l’Inde, la Jamaïque, le Soudan, le Brésil, le Méxique et l’Indonésie. Pour éviter de se faire piéger, il est recommandé de ne télécharger ses applis Android que sur des boutiques bien connues comme Google Play Store.
Source :
Lookout
Ces trois familles ne sont pas nécessairement gérées par le même groupe de pirates, mais elles partagent des morceaux de code et des exploits. L’une des principales caractéristiques de ce malware est, en effet, de s’appuyer sur une série de failles plus ou moins connues pour « rooter » le terminal, c’est-à-dire obtenir les privilèges administrateur. L’appli peut alors s’installer en tant qu’application système, ce qui lui assure une persistance dans le temps. « Ils deviennent presque impossible à supprimer, obligeant souvent la victime à remplacer leur appareil pour revenir à un fonctionnement normal », souligne Lookout dans une note de blog.
Sur le principe technique, Lookout ne décrit rien de foncièrement nouveau, mais rend compote d’une montée en puissance de ce phénomène. Dans l’analyse de FireEye ne figurait pas d’applis célèbres, mais plutôt de petits utilitaires. Parmi les pays les plus touchés figurent les Etats-Unis, l’Allemagne, l’Iran, la Russie, l’Inde, la Jamaïque, le Soudan, le Brésil, le Méxique et l’Indonésie. Pour éviter de se faire piéger, il est recommandé de ne télécharger ses applis Android que sur des boutiques bien connues comme Google Play Store.
Source :
Lookout