Utiliser un cheval de troie avec la puissance d'un botnet, pour attaquer les téléphones portables et les tablettes, voici la dernière menace décelée par Kaspersky Lab. Il s'agit d'une première dans l'histoire de la cyber-criminalité, selon le spécialiste. Baptisé Obad.a, ce virus a principalement touché des utilisateurs en Russie. Seuls les appareils Android sont concernés.
Le malware Obad.a a été distribué par un botnet avec le trojan «SMS.AndoidOS.Opfake.a». L'utilisateur reçoit un SMS qui lui demande d'ouvrir un lien. Une fois celui-ci ouvert, le fichier «Opfake.a» est installé automatiquement sur le smartphone ou la tablette. Il envoie alors des messages infectés aux contacts de l'utilisateur, à son insu, et ainsi de suite... Un opérateur téléphonique russe a recensé 600 messages de ce type en cinq heures. Dans la plupart des cas, le virus démarre à partir de terminaux déjà infectés.
Plusieurs méthodes de distribution
Le mode de distribution de obad.a est varié. Il s'est ainsi répandu via des spams prévenant qu'un paiement n'avait pas été effectué. Pour y remédier, il fallait cliquer sur un lien, qui installait «Obad.a» sur l'appareil mobile.
Il se diffuse aussi via la boutique en ligne, avec de fausses applications qui remplacent les liens officiels sur Google Play et déploient «Backdoor.AndroidOS.Obad.a» (le nom complet de obad.a). Téléchargé sur un PC, il ne se passe rien, mais lorsque l'application est installée sur un terminal mobile, il se met en action.
« En trois mois, nous avons découvert douze versions de «Backdoor.AndroidOS.Obad.a». Chacune possède la même fonction, et utilise des points faibles du système d'exploitation Android, qui leur permet d'obtenir les droits d'administrateur», explique Christian Funk, Senior Virus Analyst chez Kaspersky Lab.
Google a été informé, et la faille dans les appareils tournant sous Android 4.3 a été réparée. Les versions antérieures demeurent, elles, toujours menacées.
ICTjournal.ch
Une attaque mixe trojan et botnet sur Android
1
Réaction
Kaspersky a découvert une menace nommée Obad.a, qui utilise une méthode encore inédite pour mettre à mal les terminaux mobiles tournant sous Android. Elle combine trojan et botnet.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
"Une fois celui-ci ouvert, le fichier «Opfake.a» est installé automatiquement sur le smartphone ou la tablette."
Signaler un abusRien moins que faux :
"The malware cannot be installed unless users then run it." (dans la source de l'article)
Que fait ce virus donc ?
*Une fois installé*, il envoie par sms (l'application s'appelant Mms.apk, elle remplace peut-être l'application système de SMS, cela ne se faisant qu'en ayant les droits root, on peut penser qu'elle utilise une faille pour monter en droits, ce qui serait assez inédit, les différentes méthodes de root reposant bien souvent sur le mode recovery/download du terminal Android. Il y a eu des applications permettant de devenir root, mais Android a été patché contre elles) à tous les contacts un lien permettant de télécharger cet apk. Le contact n'est pas infecté tant qu'il ne fait pas n'importe quoi, à savoir cliquer sur l'apk, l'installer sans se poser de questions (sur ses droits, sur le pourquoi du comment d'un écran d'installation inattendu).
L'attaque par faux Play Store est par contre pas mal fichue du tout, et cela restera cohérent pour l'utilisateur d'avoir un écran d'installation d'application, car c'est bien dans cet optique là (installer une application) qu'il a visité le prétendu Play Store.