Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan utilisant la nouvelle vulnérabilité Master Key se propage via un catalogue d'applications pour Android

le 31 juillet 2013

Doctor Web a détecté le premier logiciel malveillant ciblant Android qui exploite la nouvelle vulnérabilité Master Key. Android.Nimefas.1.origin est capable d'envoyer des SMS, de transmettre des données confidentielles et d’exécuter des commandes distantes sur l'appareil mobile infecté. À l'heure actuelle, le Trojan est distribué via des jeux vidéo et des applications depuis l'un des catalogues d'applications pour Android en Chine. Mais il ne faut pas exclure qu’il se propage à d’autres régions du monde à l’avenir.

Dès la révélation de la vulnérabilité Master Key, la plupart des spécialistes en sécurité informatique ont su que tôt ou tard, les hackers exploiteraient cette brèche dans le système d'exploitation Android, car ce n'est pas difficile d’un point de vue technique.

Le Trojan découvert, ajouté à la base virale Dr.Web sous le nom Android.Nimefas.1.origin, se propage dans les applications pour Android sous la forme d'un fichier dex modifié, qui est placé à côté du fichier dex original. Rappelons que la vulnérabilité Master Key est due à la particularité de traitement des applications installées par l'un des composants de l’OS Android. Si le package apk contient, dans un sous-dossier, deux fichiers sous le même nom, le système d'exploitation vérifie la signature digitale du premier fichier mais installe l'autre, qui n'a pas été vérifié. Ainsi, le mécanisme de protection contre l'installation d’une application modifiée peut être évité.

L'image ci-dessous montre un exemple de l'une des applications infectée par Android.Nimefas.1.origin :

screen

Lancé sur l'appareil mobile infecté, le Trojan vérifie si un antivirus est actif.

S'il en détecte un, le Trojan Android.Nimefas.1.origin détecte la présence d'un accès root, en cherchant les fichiers " /system/xbin/su " ou " /system/bin/su ". S'il les trouve, il s'arrête. Sinon, le Trojan continue son fonctionnement.

Android.Nimefas.1.origin envoie notamment l’identificateur IMSI sur un numéro choisi au hasard dans sa liste.

Ensuite, il envoie des SMS à tous les contacts retrouvés sur l'appareil mobile infecté. Le texte de ces messages est téléchargé sur un serveur distant. Puis l'information sur les contacts utilisés est envoyée au même serveur. Le malware est capable d'envoyer des SMS de façon arbitraire à différents numéros. Les informations nécessaires (messages texte, et numéros de téléphone) sont envoyées par le serveur de gestion.

Le Trojan peut également cacher les messages entrants. Le filtre approprié (selon le numéro ou le texte des messages reçus) est téléchargé sur le serveur de gestion des attaquants.

Actuellement, le serveur distant utilisé par les hackers pour gérer les actions du malware ne fonctionne plus.

screen

Le Trojan Android.Nimefas.1.origin cible les utilisateurs chinois. Les propriétaires du site contenant les applications infectées sont déjà au courant de ce problème. Cependant, comme nous l’avons dit plus haut, il n’est pas exclu que le trojan se propage hors de Chine dans l’avenir. Tant que les mises à jours appropriées ne seront pas sorties, beaucoup d'utilisateurs peuvent être victimes de ces applications malveillantes.

Les utilisateurs des produits antivirus Dr.Web pour Android sont protégés contre Android.Nimefas.1.origin : ce Trojan est facilement détecté par la technologie Origins Tracing™. En outre, le fichier apk contenant ce programme malveillant est détecté par l'antivirus Dr.Web comme Exploit.APKDuplicateName.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg