Revue de Presse : Malware sur Android

Une revenue de presse concernant les malwares sur Android, pour faire un peu suite à celui sur Mac avec la sage OSX.Flashback.
Un peu le même constat du fait de la popularité de ces appareils qui se chiffrent en milliard.

Voici quelques malwares publiés par les éditeurs d’antivirus, ceci n’est pas l’intégralité des malwares existants actuellement sur Android.
Le but étant d’avoir un aperçu de ce qui existe actuellement et la manière dont ils sont propagés.

Fausse Application qui renferme des malwares

Un des vecteurs d’infection sont de fausses applications qui renforment un malware.

Mi-Avril 2012 – Un faux Angry bird a été mis en ligne sur internet : http://blog.trendmicro.com/rogue-instagram-and-angry-birds-space-for-android-spotted/
L’application a été mise en ligne sur internet via un site qui imitait celui d’Instagram – un service qui propose des applications pour SmartPhone.

La fausse application réclame les droits pour envoyer des SMS afin d’enregistrer celle-ci, le but étant de récupérer les droits d’envois de SMS pour le malware qui par la suite va pouvoir spammer.
La description du malware se trouve ici : http://about-threats.trendmicro.com/Malware.aspx?language=us&name=ANDROIDOS_SMSBOXER.A

Par la suite Trend-Micro publie une liste de fausses applications proposées sur Google Play qui renforme des malwares :

http://blog.trendmicro.com/17-bad-mobile-apps-still-up-700000-downloads-so-far/

http://nakedsecurity.sophos.com/2011/06/14/plankton-malware-drifts-into-android-market/
Une partie sont des adwares qui vont donc ouvrir des bannières publicitaires et remunérés les auteurs, d’autres permettent la prise de contrôle du SmartPhone comme le font ceux sur PC.

Certaines de ces applications utilisent le spyware Plankton – ce dernier a été découvert courant Juin 2011 : http://www.csc.ncsu.edu/faculty/jiang/Plankton/
Le jar Plankton se charge durant l’installation de l’application puis la partie malicieuse attend des instructions du C&C via des commandes qui lui sont envoyées :

D’autre malwares ont été publiées par la suite, sur le blog de Trend-Micro : TigerBot / Spyera: http://blog.trendmicro.com/a-closer-look-at-androidos_tigerbot-evl/ 
Ce dernier est contrôlé par des commandes qui sont envoyés par SMS – découvert aussi courant Avril 2012 : http://www.csc.ncsu.edu/faculty/jiang/TigerBot/

Ce dernier est capable de :

  • Enregistrer les son (incluants les appels)
  • Modifier les parmètres réseaux.
  • Obtenir la localisation GPS
  • Effectuer des captures ou envoyer des images
  • Envoyer des SMS
  • Redémarrer le SmartPhone
  • Tuer des processus en cours d’execution

Dernièrement (Mai 2012), McAfee publie un malware qui se connecte au C&C via le protocole IRC : http://blogs.mcafee.com/mcafee-labs/evolution-of-android-malware-ircbot-for-android
Ce dernier se propage par un faux jeu sous le nom MADDEN NFL 12.

 

Installation d’Application par website-injection

Puis les  premières infections par website-injection débarquent.

Récemment, les éditeurs de sécurité se font fait echo d’une campagne qui ajoute une iframe sur des sites WEB.
Ceci lance l’installation d’une application (.apk), l’utilisateur devrait avoir une popup de confirmation de l’installation.

La détection est Android.Bgserv – Ce dernier est un package modifié de Android Market Security Tool, un outils de Google : http://www.symantec.com/connect/ko/blogs/androidbgserv-found-fake-google-security-patch

Sophos avait publié en Février 2012, une autre website-injection via un lien reçu depuis Facebook : http://nakedsecurity.sophos.com/2012/02/24/android-malware-facebook/
On obtient la popup ci-dessous, le nom du package qui tente de se faire passer pour Opera : com.opera.install

Les web-injection sont couplés à des attaques social engeenering pour tromper les internautes et faire installer l’application qui n’est qu’en fait que le malware.

Conclusion

Trois types d’approche pour propager les infections.

  • Imiter des vrais services pour proposer des applications, en espérant que l’internaute tombe dessus via internet
  • Proposer de fausses applications dans les services stores
  • website-injection : hacker des sites pour proposer l’installation d’un malware sous couvert d’une application légitime

Dans le cas des stores, il semblerait qu’actuellement, ce sont surtout les stores chinois qui soient touchés par de fausses applications.
D’après l’étude de Lockout (voir plus bas), la Russie est aussi pas mal touché.
Il faut savoir que dans le monde du PC, ça commence souvent en Chine et Russie pour finir en Occident.


Compte tenu du nombre d’Androids en circulation, on peux s’attendre à une accélération du nombre de menaces et de la sophistication des attaques pour s’approcher de ce qui se fait sur PC.
Des outils cybercririnels à revendre vont surement voir le jour petit à petit. On peux enfin aussi imaginer, le portage des Exploits Kits actuels pour toucher des Mac et des Androids.
Un même site hackés pourra aller toucher divers équipements.
Voir les prédictions de la société Lockout : http://blog.mylookout.com/blog/2011/12/13/2012-mobile-threat-predictions/

Côté menace, on constate que l’on a déjà toute sorte de malwares, de l’adware à la backdoor en passant par le stealer.
Trend-Micro a mis en ligne un portail qui liste les menaces : http://about-threats.trendmicro.com/mobile/
On est environ à 1 ou 2 nouvelles menaces par moi.

Trend-Micro a aussi publié un livret (en anglais) qui liste les bonnes habitudes à avoir dans l’utilisation de son SmartPhone : http://about-threats.trendmicro.com/ebooks/5-simple-steps-to-secure-your-android-based-smartphones/#/1/

Des antivirus sont aussi disponibles pour SmartPhone, en voici quelque uns :