Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau Trojan ciblant Android utilise une vulnérabilité pour se cacher de l'antivirus

le 16 octobre 2013

Doctor Web met en garde contre l'apparition d'un nouveau Trojan ciblant Android, conçu pour le vol des données sensibles des utilisateurs coréens. Il comprend des fonctionnalités standards, mais lors de son développement, les malfaiteurs ont utilisé la vulnérabilité du système d'exploitation Android qui permet d'éviter le scan antivirus. Actuellement, ce Trojan est diffusé en Corée du Sud, mais nous pouvons supposer que ses modifications cibleront les utilisateurs dans d’autres pays.

Ce Trojan, ajouté à la base virale Dr.Web sous le nom Android.Spy.40.originse propage via des SMS indésirables contenant un lien vers un fichier apk. Aujourd'hui, c'est l'un des moyens le plus répandu en Asie du Sud-Est (principalement au Japon et en Corée du Sud) pour diffuser des logiciels malveillants ciblant Android. Après l'installation et le démarrage, Android.Spy.40.origin demande à l'utilisateur l'accès aux fonctions administrateur de l'appareil mobile, puis supprime son icône de l'écran principal, mais continue à fonctionner.

Il se connecte ensuite à un serveur distant pour recevoir des commandes. En particulier, Android.Spy.40.origin est capable:

  • • D’intercepter les SMS entrants et de les envoyer au serveur (ces messages sont cachés à l'utilisateur) ;
  • • bloquer les appels sortants ;
  • • envoyer au serveur des attaquants les contacts et la liste des applications installées ;
  • • supprimer ou installer une application spécifiée dans la commande reçue ;
  • • envoyer un SMS à un certain numéro avec un texte spécifié dans la commande.

Ce malware peut représenter une menace assez dangereuse, car il peut intercepter les messages contenant des données sensibles, personnelles ou professionnelles, les coordonnées bancaires, ainsi que les codes mTAN, largement utilisés par les banques pour confirmer les paiements en ligne. En outre,les cybercriminels peuvent utiliser les contacts reçus pour envoyer des SMS ou lancer des attaques de phishing.

Cependant, la particularité principale de Android.Spy.40.origin est qu'il utilise la vulnérabilité du système d'exploitation Android, qui permet au malware d'éviter la détection par des solutions antivirus. Les malfaiteurs ont modifié le fichier apk du Trojan (le fichier apk est une archive zip standard, qui a une autre extension).

Selon la spécification du format ZIP, l'en-tête de l'archive pour chacun des fichiers a un champ spécial General purpose bit flag. Le bit zéro de ce champ indique que les fichiers de l'archive sont cryptés (protégés par un mot de passe). Autrement dit, malgré l'absence de mot de passe et le bit 1 de ce champ, l'archive doit être traitée comme protégée.

Comme on peut le voir sur l'image ci-dessous, dans des conditions normales si on essaie de décompresser ce fichier zip, mot de passe est requis , mais dans l’OS Android, le traitement de ces archives comporte une erreur et le bit zéro est ignoré, ce qui permet d'effectuer l'installation du logiciel. Contrairement au système d'exploitation qui comporte cette vulnérabilité, les solutions antivirus doivent correctement traiter le champ General purpose bit flag, en le considérant comme un fichier protégé par un mot de passe et ne le scanne pas, même si le fichier compressé dans l'archive apk est inclus à la base virale.

Les spécialistes de Doctor Web ont amélioré les fonctionnalités de l'antivirus Dr.Web pour Android et ce dernier détecte bien les logiciels malveillants qui utilisent le moyen décrit ci-dessus. Toutefois, les utilisateurs des appareils sous Android doivent rester prudents et ne pas installer des applications suspectes ni cliquer sur des liens reçus dans des messages SMS non sollicités.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg