Les concepteurs du célèbre trojan SpyEye, dédié à la cybercriminalité bancaire, étendent ses activités aux smartphones sous Android, où une variante baptisée SPITMO intercepte les SMS que de nombreuses institutions financières utilisent comme une mesure antifraude.
La firme de sécurité américaine Trusteer estime sur son blog qu'il s'agit là du premier malware Android à se propager sans l'aide du Market de Google ni des boutiques applicatives parallèles.
SPITMO nécessite plus précisément que l'ordinateur de sa victime soit infecté avec la version Desktop de SpyEye.
Cette dernière corrompt le navigateur pour incruster subtilement sur le site de la banque de l'utilisateur, un message suggérant l'installation d'un paquet Android qui assurera la sécurité de son service bancaire mobile.
À partir du moment où l'utilisateur gobe la supercherie et installe manuellement le malware en question, suivant des instructions précises, tous les SMS qu'il reçoit sont continuellement interceptés et envoyés à l’un des centres de contrôle et de commande des attaquants via de simples requêtes GET.
Mais avant une dernière étape est nécessaire pour réussir « leur coup », composer un numéro (325000) afin d'obtenir un code d'activation. Dès lors, les attaquants pourront retirer des fonds ou effectuer des transferts en ligne.
Le malware s'installe sous les appareils en tant que processus appelé « System », invisible sur le dashboard et sur la liste des applications ouvertes (il n’agit ni en tant qu’application, ni en tant que service).
Les chercheurs de Trusteer menés par Ayelet Heyman ont infiltré l'un des centres de contrôle et de commande où sont stockées les informations dérobées. Ils ont découvert qu’heureusement peu de victimes ont été pour l'instant compromises. Ce type d'attaques n'en serait donc qu'à ses balbutiements.
Il n'en reste pas moins qu’il s'agit là d'une parade inquiétante contre les mesures de sécurité antienregistreurs de frappe (Keyloggers), qui renouvellent les codes d'accès après chaque utilisation, et les communiquent à l'utilisateur par SMS.
Pour mémoire, SpyEye a fait ses débuts sur les forums underground russes fin 2009, et il n'a pas cessé depuis de soulever les craintes des firmes en sécurité pour sa sophistication qui lui permet d'agir en tant qu'anti-ZeuS (un trojan bancaire concurrent) pour ne point partager le pactole de ses victimes !
Pour plus d'informations sur les autres menaces qui pèsent sur Android, lire notre dossier ci-avant.
Source : Trusteer
Android : un nouveau Trojan enregistre les conversations téléphoniques
Sur la carte mémoire des smartphones et les transmet à des serveurs distants
Mise à jour du 2 août 2011 par Idelways
En l'absence de mesures sérieuses pour freiner ce fléau, les menaces de sécurité sur Android se multiplient et gagnent en audace et dangerosité.
Un nouveau Trojan démasqué ne se contente pas de lister les appels entrants et sortants et leur durée, mais pousser le vice jusqu'à enregistrer les conversations passées via les smartphones compromis et les stocke au format « ARM » dans la carte mémoire SD de l'appareil.
Ces conversations ainsi collectées peuvent être rapatriées au choix par les hackers qui contrôlent le serveur relié au Trojan, à en croire les tests réalisés en environnement fermé par les chercheurs en sécurité de CA Technologies, à l'origine de cette découverte.
« Une fois le malware installé sur l'appareil victime, il y place un fichier [XML] de configuration qui contient des informations clés sur le serveur distant et les paramétrages [du Trojan] », explique le chercheur Dinesh Venkatesan.
Ce cheval de Troie encore non baptisé n'a pas les capacités de s'installer automatiquement ou d'obtenir des autorisations subrepticement. Ses victimes doivent valider l'installation de l'application infectée et lui accorder les droits nécessaires pour l'enregistrement audio, l'accès au statut de la fonction téléphone et le droit d'empêcher le téléphone d'entrer en mode veille.
Ce Trojan peu discret pourrait n'être en fait qu'un prototype, il lui manque en effet une bonne couverture pour tromper la vigilance des utilisateurs (comme se faire passer pour un jeu vidéo populaire).
Il est en tout cas amplement suffisant à l’état actuel au service des époux suspicieux et les employeurs et associés crapuleux.
Dans ces deux cas, être vigilant au moment d'installer une application et lui octroyer les autorisations, risque de ne pas être d'un grand secours. Mais il s’agit d’un conseil que l'on ne répétera jamais assez.
Source : CA
HippoSMS : nouvelle menace sur les smartphones sous Android
Ce malware envoie des SMS surtaxés et dissimule soigneusement ses dégâts
Mise à jour du 12/07/2011 par Idelways
Les pirates continuent d'investir l'Android et de nouveaux malwares viennent d’y être découverts par deux groupes de chercheurs distincts.
Bannis de l'Android Market après y avoir été téléchargés des milliers de fois, quatre des nouveaux malwares sévissent toujours sur une variante chinoise non autorisée de la boutique applicative de Google.
Ces applications démasquées par Lookout Security sont encore une fois infectées par une variante du Trojan DroidDream Light. Ce dernier a envahi le Market à trois reprises cette année (lire ci-devant pour en savoir davantage).
Cette variante se lance après l'installation des applications sans l'intervention de l'utilisateur, souligne Lookout, elle invite l'utilisateur à installer d'autres applications et serait même en mesure de les télécharger automatiquement.
De leurs côtés, des chercheurs de l'université de Caroline du Nord ont découvert un nouveau logiciel malveillant qui force les smartphones sous Android à envoyer des textos surtaxés aux dépens du forfait des victimes.
Menée par le professeur Xuxian Jiang, cette équipe d'universitaires, qui n'en est d'ailleurs pas à sa première découverte, tire la sonnette d'alarme à propos de "HippoSMS", une application qui se répand uniquement sur le fameux Android Market chinois.
Cette application ne se contente pas de voler le crédit de l'utilisateur, mais opère en toute discrétion en supprimant toutes les notifications envoyées par les opérateurs et les messages de consultation de sa facture téléphonique, dissimulant ainsi les dépenses qu'elle inflige à l'utilisateur.
Les deux équipes de recherche en sécurité recommandent pour la énième fois d'examiner soigneusement les autorisations accordées aux applications au moment de l’installation.
Et on ne le répètera jamais assez !
Source : Lookout,
Dix nouveaux malwares Android supprimés du Market
Ces logiciels malveillants embarquent le spyware Plankton, et s'acharnent sur le jeu Angry Birds
Mise à jour du 13/06/2011 par Idelways
Dix applications malveillantes viennent d'être virées de l'Android Market de Google où les malwares deviennent une menace sérieuse et récurrente.
Profitant de son succès planétaire, ces dix applications se font passer pour des extensions du célèbre jeu Angry Birds créé par le studio de développement finlandais Rovio.
Nombre de ces applications embarquent le logiciel espion Plankton, conçu pour se connecter régulièrement à des serveurs distants afin d’y transférer des informations confidentielles de l'utilisateur, comme le numéro IMEI de l’appareil, l'historique de navigation, les marque-pages et la page de démarrage du navigateur embarqué par défaut dans l'OS.
Cette nouvelle menace qui pèse sur l'écosystème d'Android a été découverte par Xuxian Jiang, professeur adjoint au département des sciences informatique de l'université de Caroline du Nord.
D'après les recherches de l'équipe de Xuxian Jiang, Plankton ne cherche pas à obtenir le droit d'accès root. Il est plutôt conçu pour espionner l'utilisateur furtivement, tout en ayant la capacité d'étendre dynamiquement ses propres fonctionnalités de nuisance.
Les fausses applications qui l'embarquent promettent toute d'étendre les fonctionnalités du jeu populaire, en débloquant des niveaux, ajoutant le support multijoueur ou en trichant sur les scores.
Évidemment, aucune de ces promesses n'est tenue à l'installation des applications, qui ne fait qu'y placer subrepticement des fonctions d'accès et de prise de contrôle à distance des appareils, à l'usage de son créateur à l'identité encore mystérieuse.
Le bilan des applications supprimées en juin 2011 s'élève désormais à 34 malwares après les 24 éradiquées en ce début de mois (lire ci-avant).
De nombreuses autres menaces se cachent certainement parmi les centaines de milliers d'applications qui occupent le catalogue d'application, volontairement ouvert.
Google va-t-il enfin revoir son processus de validation par certains jugé laxiste ? Certainement pas avant que le nombre d'applications Android dépasse celui de l’App Store.
Les utilisateurs, quant à eux, n'ont qu'à se munir de bon sens avant toute décision d’installer une application...
Source : site du Pr Xuxian Jiang
Et vous ?
Le nombre très élevé de malwares détectés et supprimés va-t-il provoquer un changement Quelles mesures pourrait prendre Google d'après vous pour limiter l'intrusion des malwares tout en gardant ouverte sa galerie d'applications ?Android Market : Google supprime 24 applications infectées par un malware
120 000 utilisateurs touchés
Google vient de supprimer 24 applications de l'Android Market qui contenaient du code malicieux.
Cette opération a été effectuée suite à la découverte de chercheurs en sécurité. L'installation de ces applications entraînait le transfert de données des utilisateurs vers des serveurs distants.
Selon Lookout, la société qui emploie ces chercheurs, plus de 120 000 utilisateurs des terminaux sous Android auraient téléchargé ces applications avant qu'elles ne soient détectées.
Lookout a identifié les logiciels malveillants après le message d'un développeur qui annonçait que des versions modifiées de ses applications et des applications d'un autre programmeur étaient distribuées sur l'Android Market.
Le malware aurait été créé par les mêmes auteurs que ceux qui avaient lancé en mars dernier DroidDream, une forme de cheval de Troie. Google avait alors supprimé une cinquantaine d'applications de l'Android Market et lancé un outil de surpression à distance pour les smartphones ayant la fonctionnalité Kill Switch activée.
Ce nouveau malware serait donc une version allégée de DroidDream. Baptisé Droid Dream Light par Lookout. Il collecte des informations comme les identifiants IMEI (International Mobile Equipment Identity), IMSI (International Mobile Subscriber Identifier) et des détails sur les applications installées.
La liste des applications infectées est disponible sur le site de Lookout, qui conseille de les désinstaller et d'effectuer un scan de sécurité sur les appareils touchés.
Une nouvelle affaire qui pose la question de la validation et de la vérification des applications sur l'Android Market, une galerie volontairement très ouverte pour faciliter les processus de publications.
Source : Lookout
Et vous ?
Que pensez-vous de la sécurité sur l'Android Market ? 
Envoyé par transgohan
