Actualités

Android : quand un malware prend les traits d’une “mise à jour du système” !

Qualifié de sophistiqué et d’un genre nouveau par les chercheurs Zimperium, cette application mobile Android se déguise en mise à jour : en réalité, il s’agit d’un malware-espion qui collecte des données sur le terminal mobile infectée…

 

 

Bien que Google ait confirmé son inexistence depuis le Play Store, il s’agissait d’un malware assez dangereux pour les victimes qui allaient, alors, télécharger le programme vérolé directement depuis un magasin en ligne d’application tiers : une fois le malware installé, toute une batterie de données statistiques s’amorce sous communication command-and-control, telles que l’existence de WhatsApp, le statut de charge-batterie, l’état du stockage (espace restant) voire un token (jeton d’authentification) de Firebase Command qui pouvait, au besoin, être fraîchement renouvelé.

Il suffisait que la victime ajoute un contact, une photo, une vidéo ou créait un message SMS – entre-autres : il suffit d’une action nouvelle – pour que le serveur malveillant s’active afin d’actualiser la donnée ou data pour le terminal mobile en question. L’ensemble était, ensuite, ex-filtré via une requête dédiée. L’ensemble était agencé de manière assez détaillée, relate Zimperium, à la manière, par exemple, d’un explorateur fichiers sous Windows avec toute une arborescence par type de donnée subtilisée. Autre point, ladite fraîcheur des données : “les données de localisation sont collectées à partir du GPS ou du réseau (selon la valeur la plus récente) et si cette valeur la plus récente est antérieure à plus de 5 minutes, il décide de collecter et de stocker à nouveau les données de localisation. Il en va de même pour les photos prises à l’aide de l’appareil photo de l’appareil et la valeur est définie sur 40 minutes”. Des extensions étaient spécifiquement ciblées : PDF, DOC, XLS, XLSX, PPT, PPTX. Les documents concernés étaient, alors, ex-filtrés avec un chiffrement, en direction du serveur incriminé, pour peu que le poids-fichier soit inférieur à 30 Mo.

Concernant WhatsApp, la viralité était effective depuis les options et services d’accessibilité : conversations et messages étaient centralisés sous une base de données SQLite. Cerise sur le gâteau : les fichiers légitimes de l’application mobile étaient dupliqués depuis l’emplacement de stockage (normalement privé) lorsque l’accès root était actif, disponible. Le presse-papiers n’était, également, pas épargné : GPS, SMS, contacts, journaux d’appels et de notifications étaient ex-filtrés. En plus du stockage interne, le stockage externe était, pris à parti : images, vidéos, principalement sous la forme de vignettes ou miniatures pour rester en dessous des radars sécuritaires (comme un anti-virus) en privilégiant, donc, une taille-fichier plus minime. Enfin, les données liées au navigateur Web étaient, également, concernées, telles que les signets et, bien évidemment, l’historique de recherche sous Chrome, Firefox ou encore le navigateur Samsung, note les chercheurs.

Un énième exemple qui rappelle de l’importance de télécharger des applications mobiles sur les sites-éditeurs officiels tout en vérifiant, dans la foulée, si celles-ci sont dignes de confiance (commentaires, coche Protect Google, nom de l’application, nom de l’éditeur…)… A veiller !

 

 

Source : Blog Zimperium – 26 Mars 2021 – Malware Android (depuis boutique d’application tierce) : un logiciel-espion se faisait passer pour une mise à jour du système mobile.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5