Selon l'éditeur spécialisé dans la sécurité Trend Micro, c'est la première fois que ce mode de communication est utilisé par des malware visant les terminaux tournant sous la plateforme mobile de Google. Le logiciel malveillant, nommé « ANDROIDOS_ANSERVER.A » par les chercheurs, prétend être une application e-book. En fait, il peut voler des informations sur un téléphone sous Android et les envoyer ensuite à un serveur distant, une boutique en ligne diffusant des applications Android et localisée en Chine.
Une fois installée, l'application demande différentes autorisations, qui, si elles sont accordées, lui permet de passer des appels, lire les journaux en ligne, rédiger et recevoir des SMS et, entre autres choses, lui ouvre aussi accès aux paramètres réseau et Internet. Le malware utilise le blog pour savoir à quels serveurs de commande et de contrôle il doit obéir. Le serveur de commande et de contrôle alimente ensuite le malware avec un fichier XML qui contient l'URL où le malware peut se mettre à jour. Celui-ci peut également se connecter au blog pour vérifier si de nouvelles mises à jour sont disponibles. Trend Micro a pu constater que 18 variantes du malware s'étaient succédées sur le blog entre le 23 juillet et le 26 septembre. « Ce blog héberge un contenu crypté. D'après nos recherches, c'est la première fois qu'un malware Android utilise ce type de technique pour communiquer, » a écrit sur le blog de l'entreprise Karl Dominguez, un ingénieur spécialisé dans les réponses aux attaques chez Trend Micro.
Des fausses notifications de mise à jour
On sait depuis un certain temps que les auteurs de logiciels malveillants se servent de blogs comme plateformes pour leurs malware. Le chercheur a remarqué qu'un botnet, découvert plus tôt cette année, recevait ses instructions via des messages postés sur Twitter. Parmi les toutes dernières versions du logiciel malveillant hébergé sur le blog, certains avaient « la capacité d'afficher de fausses notifications pour inciter les utilisateurs à approuver le téléchargement d'une mise à jour, » a encore expliqué le chercheur.
Généralement, les experts en sécurité recommandent aux utilisateurs d'être prudents quand ils téléchargent des programmes pour Android sur des plateformes d'applications tierces, en raison du nombre de logiciels malveillants qui y sont hébergés. Les utilisateurs doivent également rester vigilants avant d'accorder des permissions à une application, et accorder le moins d'autorisations possibles, dans le cas où l'application s'avèrerait être un malware.
Crédit photo : Trend Micro
Un blog crypté pour transmettre des instructions à un malware Android
1
Réaction
Des chercheurs de Trend Micro ont repéré un logiciel malveillant pour Android, qui reçoit ses instructions depuis un blog crypté.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Bonjour,
Signaler un abusJe m'interroge sur l'utilisation du vocable "Crypté". Il me semble que c'est plus le vocable "chiffré" qui devrait être employé ici.
Je peux me tromper, bien entendu, et j'aimerais bien qu'on en discute éventuellement, si vous le voulez bien.
J'ai écrit, il y a un moment, un billet sur mon blog sur l'usage de ce terme, mais si je me trompe, j'aimerais bien le savoir pour rectifier au plus vite -> http://www.ryfe.fr/2011/08/les-mots-crypter-et-cryptage-n%E2%80%99existent-pas/
Je vous remercie d'avance et reste à votre disposition pour en échanger...
Bien cordialement,
Ryfe