le 22 mai 2013

Doctor Web annonce la découverte d'une nouvelle menace ciblant Android, capable d'intercepter les SMS et de les envoyer aux malfaiteurs. Le Android.Pincer.2.origin représente une menace assez dangereuse touchant les utilisateurs, car il peut intercepter les messages contenant les codes mTAN, largement utilisés dans les banques en ligne pour confirmer les paiements, ainsi que les autres données sensibles.

Le Trojan, détecté il ya quelques jours, est le deuxième représentant connu de la famille Android.Pincer.Comme son prédécesseur, le malware se propage sous forme d'un certificat de sécurité, qu'il faut installer sur un appareil mobile sous Android. Si l'utilisateur installe et lance le Trojan, Android.Pincer.2.origin affiche un faux message sur l'installation réussite du certificat puis reste invisible.

Pour être chargé avec le système d'exploitation, le Trojan enregistre un service du système CheckCommandServices qui fonctionne après comme un service de fond.

Si le lancement a fonctionné lors du démarrage de l'appareil mobile, Android.Pincer.2.origin se connecte à un serveur distant et télécharge les données suivantes sur l'appareil :

• modèle ;
• numéro de série ;
• identificateur IMEI ;
• opérateur mobile utilisé ;
• numéro ;
• langue du système par défaut ;
• version du système d'exploitation ;
• présence d'accès root.

Ensuite, le programme malveillant attend le SMS comportant le texte " command : [nom d'une commande] ", contenant la description de l'action à exécuter. Les cybercriminels prévoient les commandes suivantes :

• start_sms_forwarding [numéro de téléphone] - pour commencer l'interception des messages envoyés du numéro spécifié ;
• stop_sms_forwarding - arrêter l'interception des messages ;
• send_sms [numéro de téléphone et le texte] - envoyer des SMS avec les paramètres spécifiés ;
• simple_execute_ussd - exécuter une requête USSD ;
• stop_program - arrêter l’action du trojan ;
• show_message - afficher un message sur l'écran de l'appareil mobile ;
• set_urls - modifier l'adresse du serveur de gestion ;
• ping - envoyer des SMS avec le texte pong à un numéro pré-déterminé ;
• set_sms_number - pour changer ce numéro.

La commande start_sms_forwarding représente un intérêt particulier, puisque elle permet d'indiquer depuis quel numéro il faut intercepter les messages. Cette fonctionnalité permet d'utiliser ce logiciel comme un outil pour lancer des attaques ciblées et voler les messages contenant les codes mTAN ou les données sensibles des utilisateurs, aussi bien des particuliers que des chefs des entreprises et des personnels d’institutions publiques.

Dr.Web pour Android détecte le Trojan Android.Pincer.2.origin, c'est pourquoi il ne représente aucune menace pour nos utilisateurs.