Articles

Un Trojan Android capable d’envoyer des attaques de type DDoS et de recevoir des instructions par SMS

L’éditeur d’antivirus Dr Web a découvert un nouveau programme malveillant pour Android capable d’effectuer des attaques de type DDoS et de recevoir des instructions par SMS.

Après l’installation du Malware Android.DDoS.1.origin, ce dernier créé une icône similaire à celle de Google Play. Lorsqu’on clique sur l’icône, Google Play se lance normalement mais le Malware s’active à l’insu de l’utilisateur.

Une fois lancé, le Cheval de Troie tente de se connecter à un serveur distant et, en cas de succès, il transmet le numéro de téléphone compris à son Centre de Commande et de Contrôle (C&C) puis attend de nouvelles commandes via SMS.

Si les cybercriminels souhaitent lancer une attaque DDoS, il leur suffit d’envoyer au smartphone une commande contenant le paramètre [server : port]. Dès réception, le Malware commence à lancer des paquets de données à l’adresse spécifiée.

Le Malware est détectable par son impact sur les performances de l’appareil infecté (vitesse de connexion, batterie…) et sur les coûts qu’il peut engendrer suite à l’envoi des SMS (surtout s’ils sont à destination de numéros surtaxés) et à la consommation de bande passante.

La méthode de contamination reste encore à découvrir mais la thèse de l’ingénierie sociale est en position pour les analystes de l’éditeur d’antivirus.

[Source]

 

TigerBot : un malware Android contrôlé par SMS

Une nouvelle forme de malware Android a été découverte par des chercheurs de NQ Mobile Security travaillant avec l’équipe du Dr Xuxian Jiang à l’Université de Caroline du Nord.

Ce malware, nommé TigerBot, est contrôlé à distance via des messages SMS, il peut également enregistrer les appels téléphoniques, envoyer l’emplacement GPS du terminal, redémarrer le télephone, changer le réglage du réseau de l’appareil, capturer et télécharger des images, envoyer des messages SMS, arrêter les processus en cours…

TigerBot reçoit les commandes à distance via SMS, les dispositifs infectés sont paramétrés pour accepter l’action suivante « android.provider.Telephony.SMS_RECEIVED ».

Comme beaucoup de logiciels malveillants Android, Tigerbot est furtif : il n’y a pas icône sur l’écran d’accueil et une fois installé, il utilise de simples noms d’applications Google et Adobe comme «système» et «flash» afin de se dissimuler entre les applications légitimes.

Retrouvez les explications de NQ Mobile Security [ici]

Mises à jour malveillantes sur Android

Selon une équipe de chercheurs en sécurité de l’éditeur Antivirus F-Secure , une nouvelle variante du cheval de Troie DroidKungFu affectant Android se fait passer pour une mise à jour d’une application légitime afin d’infecter les téléphones.

Cette méthode de propagation est relativement récente. Ce type d’installation est relativement difficile à déceler.

Une application comportant un Cheval de Troie peut se détecter par le nombre important d’autorisations qu’elle demande. Dans cette nouvelle approche, le logiciel corrompu se fait passer pour une mise à jour d’un logiciel déjà installé. Il a été démontré que les utilisateurs sont moins méfiants d’une application déjà installée et utilisée régulièrement, que pour l’installation d’un nouveau produit.

L’utilisation d’un outil anti-malware permet de repérer ce type d’intrusion.