Selon l'éditeur spécialisé dans la sécurité Trend Micro, c'est la première fois que ce mode de communication est utilisé par des malware visant les terminaux tournant sous la plateforme mobile de Google. Le logiciel malveillant, nommé « ANDROIDOS_ANSERVER.A » par les chercheurs, prétend être une application e-book. En fait, il peut voler des informations sur un téléphone sous Android et les envoyer ensuite à un serveur distant, une boutique en ligne diffusant des applications Android et localisée en Chine.
Une fois installée, l'application demande différentes autorisations, qui, si elles sont accordées, lui permet de passer des appels, lire les journaux en ligne, rédiger et recevoir des SMS et, entre autres choses, lui ouvre aussi accès aux paramètres réseau et Internet. Le malware utilise le blog pour savoir à quels serveurs de commande et de contrôle il doit obéir. Le serveur de commande et de contrôle alimente ensuite le malware avec un fichier XML qui contient l'URL où le malware peut se mettre à jour. Celui-ci peut également se connecter au blog pour vérifier si de nouvelles mises à jour sont disponibles. Trend Micro a pu constater que 18 variantes du malware s'étaient succédées sur le blog entre le 23 juillet et le 26 septembre. « Ce blog héberge un contenu crypté. D'après nos recherches, c'est la première fois qu'un malware Android utilise ce type de technique pour communiquer, » a écrit sur le blog de l'entreprise Karl Dominguez, un ingénieur spécialisé dans les réponses aux attaques chez Trend Micro.
Des fausses notifications de mise à jour
On sait depuis un certain temps que les auteurs de logiciels malveillants se servent de blogs comme plateformes pour leurs malware. Le chercheur a remarqué qu'un botnet, découvert plus tôt cette année, recevait ses instructions via des messages postés sur Twitter. Parmi les toutes dernières versions du logiciel malveillant hébergé sur le blog, certains avaient « la capacité d'afficher de fausses notifications pour inciter les utilisateurs à approuver le téléchargement d'une mise à jour, » a encore expliqué le chercheur.
Généralement, les experts en sécurité recommandent aux utilisateurs d'être prudents quand ils téléchargent des programmes pour Android sur des plateformes d'applications tierces, en raison du nombre de logiciels malveillants qui y sont hébergés. Les utilisateurs doivent également rester vigilants avant d'accorder des permissions à une application, et accorder le moins d'autorisations possibles, dans le cas où l'application s'avèrerait être un malware.
Crédit photo : Trend Micro