Mazar BOT ou le malware qui peut effacer vos données sous Android à partir d'un simple SMS / MMS (vous avez été effacé... Par vous-même) !

Effacer à bon escient est une chose louable mais quand il s'agit d'un smartphone sous Android contenant toutes vos données personnelles, cela l'est beaucoup moins ; Une mise en évidence démontrée par Heimdal Security, une entreprise spécialisée dans les solutions sécuritaires, qui vient de percer à jour Mazar BOT, un malware qui, une fois activé par les soins de l'utilisateur via SMS / MMS, permet une escalade de privilèges jusqu'à l'effacement complet du smartphone en question...

 

Android_faille 2

 

Comme expliqué sur le blog de l'entreprise Danoise, le 12 Février 2016, Mazar BOT aussi dangereux que facile à éviter puisque le programme malicieux prend sa source via un simple textos envoyé à la victime qui aura le choix de cliquer ou non sur le lien incriminé, prenant la forme suivante : "You have received a multimedia message from +[country code] [sender number] Follow the link http: //www.mmsforyou [.] Net / mms.apk to view the message." (les mots entre crochets étant volontairement cachés). Bien évidemment, il ne faut donc pas mettre ne serait-ce que le bout de l'ongle sur le lien de ce message, sous peine d'activer une APK malicieuse et, à partir de là, cela se corse.

 

Mazar BOT_APK Android

Une fois la curiosité piquée de l'utilisateur via le lien activé par ses soins (ou encore d'avoir cliqué sans lire l'url ou le message douteux en lui-même...), l'APK permet à l'individu malveillant d'obtenir une élévation de privilèges en mode administrateur qui lui permet moultes actions à distance telles que l'envoi / la réception de SMS (attention à la facture suivant le type de numéro voire d'abonnement souscrit !), lire le contenu du smartphone (SMS, les statuts), écrire des SMS, accéder au réseau bien évidemment avec tout ce que cela entraîne comme l'installation de TOR (connu pour maximiser / conserver l'anonymat sur le net) voire d'un proxy Polipo (qui vient en complément du réseau TOR) pour intercepter les communications / actions entre la victime et ses interlocuteurs sans que cette dernière ne le sache (attaque de l'homme du milieu ou man in the middle attack), depuis de simples fichiers mp3 (122.933 polipo.mp3 et 1,885,100 tor.mp3). Le malware peut même aller jusqu'à injecter du code malicieux dans Google Chrome.

 

smartphone_danger malware securité

Dans l'immédiat, pour se prémunir de Mazar BOT, rien de plus simple : il suffit de retenir ses doigts afin de ne pas cliquer sur ce type de lien / message douteux surtout quand il provient d'un expéditeur inconnu de votre personne, qu'il est écrit en anglais et qu'il vous dit de cliquer ou de suivre un lien. Comme préconisé par Heimal Security, il faut, aussi, veiller à bien avoir l'option permettant au système d'installer des applications tierces (autre que celles provenant du Google Play Store) désactivées ("Paramètres", "Sécurité" du smartphone Android), puisque, de la sorte, l'APK en question ne pourra pas s'installer et exécuter son œuvre malicieuse dans votre smartphone ; L'entreprise sécuritaire Danoise recommande, également, d'installer un anti-virus sur le smartphone made in Android bien sûr, de ne pas se brancher hasardeusement sur des connections non sécurisées, sans en vérifier au préalable la teneur, quitte à mettre l'option Wi-Fi désactivée quand il n'y a pas lieu de l'utiliser. Enfin, pour les plus précautionneux du genre, on peut s'essayer au VPN afin que la connexion usitée soit sécurisée et le reste, sans que quiconque, en théorie, ne puisse s'y introduire pour voir / lire ce que vous faites sur votre smartphone.

 

Internet_danger malware spam vers virus trojan

Côtés origines du malware, Heimdal Security confirme, par ailleurs, que le programme malicieux avait fait une première apparition, remarquée du moins, en Novembre 2015 dont le but ultime du ou des attaquants étaient, comme à l'heure d'aujourd'hui, assez flou, si ce n'est qu'à l'époque, la société Danoise avait souligne le fait que les victimes principalement ciblées étaient liées à la Sberbank, une des plus grandes institutions financières de l'Europe Orientale. Quand au nom "Mazar", il pourrait faire référence à Mazâr-e Charîf, une des plus grandes villes situées en Afghanistan, recelant un sanctuaire religieux ainsi qu'une mosquée. Si la Sberbank concerne l'Europe Orientale (de l'Est) et que l'Afghanistan se situe sur le territoire de l'Asie Centrale, il peut être légitime de croire que ce type de malware a été formenté, à la base, pour récolter des informations politiques / militaires voire tactiques puisqu'il ciblait des smartphones d'employés et / ou de clients, en théorie, d'une banque Russe. D'ailleurs, concernant Mazar BOT et dans les circonstances actuelles, le malware ne fait aucun méfait sur les smartphones Android Russes... A suivre !

 

Source : Phoneandroid.com