Une famille de malwares Android ajoute l'insulte à l'injure en faisant payer les utilisateurs pour les données qu'ils se font voler. Découvertes par le fournisseur de solutions de sécurité Palo Alto Networks, les trois variantes du malware Android, Gunpoder, trompent leur monde en se faisant passer pour une joyeuse application (NESGame) permettant d'émuler les jeux Nintendo de son enfance. Problème : il se trouve que les moteurs d'antivirus éprouvent des difficultés pour détecter le code malveillant depuis qu'il a été packagé dans certaines librairies publicitaires (adware) Airpush, ont indiqué les chercheurs de l'éditeur.
« Les échantillons de malwares utilisent avec succès ces librairies publicitaires pour empêcher la détection des comportements malveillants par les moteurs d'antivirus », ont écrit les chercheurs. « Alors que les moteurs antivirus peuvent capter Gunpoder en tant qu'adware et non en tant que malware, la plupart d'entre eux ne vont pas empêcher son exécution ». Les variantes du malware Gunpoder sont capables du pire, à savoir collecter les favoris et les historiques web, s'envoyer automatiquement par SMS à d'autres personnes, diffuser des publicités aux contenus frauduleux et exécuter du code.
Les informations bancaires en danger
Les utilisateurs en sont d'ailleurs doublement pour leurs frais : une fois lancé, le faux émulateur NESGame demande également de payer pour une licence à vie moyennant 0,49 dollar via PayPal ou Skrill, ce qui permet aux pirates de collecter leurs informations bancaires. Le malware Gunpoder et ses variantes a été détecté dans plusieurs pays dont la France, l'Italie, l'Espagne, les Etats-Unis, la Russie, l'Inde ou encore le Brésil et l'Afrique. Les pirates qui en sont à l'origine ont également élaboré une page publicitaire frauduleuse, également poussée via Airpush, redirigeant vers un simulacre de page Facebook demandant aux victimes de remplir à plusieurs enquêtes et d'installer plusieurs applications vérolées en faisant miroiter un cadeau qu'ils ne recevront jamais.