Un Malware sous Windows qui infecte n'importe quels périphériques sous Android

Symantec a repéré un nouveau cheval de Troie ciblant les appareils Android sur les ordinateurs Windows infectés.

L'infection commence avec un cheval de Troie nommé Trojan.Droidpak,

Il charge une DLL illicite (aussi détecté sous Trojan.Droidpak) et l'enregistre en tant que service système. Cette DLL télécharge alors le fichier de configuration du serveur distant qui suit:

• http://xia2.dy [supprimé] s-web.com/iconfig.txt

Il analyse ensuite le fichier de configuration afin de télécharger un APK malveillant à l'emplacement suivant sur l'ordinateur infecté:

• % Windir% \ CrainingApkConfig \ AV-cdk.apk

La DLL peut également télécharger des outils nécessaires tels que Android Debug Bridge (ADB).

Ensuite, il installe la BAD et utilise la commande de la figure 1 pour installer l'APK malveillant à des appareils Android connectés à l'ordinateur infecté:

Figure 1. Commande d'installation de l'APK malveillant

L'installation est tenté à plusieurs reprises de manière à assurer qu'un dispositif mobile soit infecté lorsqu'il sera connecté. Une fois l'installation réussie il est demandé que le mode de débogage USB soit activé sur le périphérique Android.

L'APK malveillant est une variante de Android.Fakebank.B , il installe une fausse version de Google App Store .

Figure 2.L'APK Malveillants dans Google App Store

Cependant, l'APK malveillant cherche en réalité certaines applications de banque en ligne coréennes sur le dispositif compromis et si il en trouve il incite les utilisateurs à les supprimer et a installer des versions corrompus. Androïd. Fakebank. B intercepte aussi des SMS sur le dispositif compromis et leur envoie à l'emplacement suivant :


http://www.slmoney.co.kr[supprimé]

Figure 3. Extrait du Code malveillant de l'APK

veiller à désactiver le mode débogage quand vous n'utilisez pas votre système Android et Soyez prudent lorsque vous connectez votre appareil mobile a un ordinateur

Source: symantec