La firme de sécurité Kaspersky Lab a détecté une application malveillante pour Android qui utilise le réseau Tor (The Onion Router). Ce dernier est un logiciel qui offre un important niveau de confidentialité aux internautes en acheminant le trafic crypté à travers un réseau de serveurs présents dans le monde entier. Tor peut également être utilisé pour héberger des sites web sur un réseau caché. Le malware Android détecté ici s'appuie sur un site Tor qui agit comme serveur de commande et contrôle, explique dans un blog Roman Unuchek, expert chez Kaspersky Lab. Ce serveur envoie des instructions au malware.
L'ajout de fonctions Tor à des malwares sur PC n'est pas nouveau. Mais les dernières études montrent que les cybercriminels ciblent de plus en plus les terminaux mobiles qui détiennent souvent des données personnelles importantes. Le malware peut intercepter les SMS et recueillir d'autres données comme le numéro de téléphone, le code IMEI du terminal et sa localisation via la fonction GPS. Les sites basés sur Tor ont des URL se terminant par .onion et ils sont très difficiles à tracer car le réseau masque la véritable adresse du site. Roman Unuchek estime que « l'utilisation d'un site Tor en tant que serveur de commande et contrôle est impossible à arrêter ».
Soupçons sur la variation d'un botnet
Le malware trouvé par Kaspersky s'appelle « Backdoor.AndroidOS.Torec.a ». C'est une variation du client Orbot Tor. Il s'agit d'un package logiciel du projet Tor pour installer l'outil d'anonymisation sur les terminaux Android. « Le malware ne cherche pas à se faire passer pour Orbot pour amener les clients à le télécharger, mais utilise simplement la fonctionnalité du client Orbot », souligne l'expert.
Adam Kujawa, responsable de l'équipe Malware Intelligence chez Malwarebytes, indique dans un billet que le malware découvert par Kaspersky est connu sous le nom de « Slempo » et qu'il s'agit d'une variation ou d'une évolution du botnet « Stoned Cat ». Dans une annonce identifiée par Malwarebytes, le coût de location du botnet est de 1 000 dollars puis un abonnement mensuel de 500 dollars.
La location du botnet Stoned Cat pour les terminaux Android
Le spécialiste avertit donc les utilisateurs de regarder le volume de données transférées depuis leur smartphone, mais aussi la consommation d'énergie, car « l'utilisation d'une connexion constante avec le réseau Tor va sans doute vider la batterie plus rapidement ».
Un malware pour Android utilisant Tor découvert
Kaspersky Lab a repéré un malware pour Android qui s'appuie sur l'outil d'anonymisation Tor. Une autre société évoque une variation d'un botnet déjà existant.