Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Un Malware sous Windows qui infecte n'importe quels périphériques sous Android

24 Janvier 2014 , Rédigé par nicko



Symantec a repéré un nouveau cheval de Troie ciblant les appareils Android sur les ordinateurs Windows infectés.

Un Malware sous Windows qui infecte n'importe quels périphériques sous Android

L'infection commence avec un cheval de Troie nommé Trojan.Droidpak,

Il charge une DLL illicite (aussi détecté sous Trojan.Droidpak) et l'enregistre en tant que service système. Cette DLL télécharge alors le fichier de configuration du serveur distant qui suit:

  • http://xia2.dy [supprimé] s-web.com/iconfig.txt

Il analyse ensuite le fichier de configuration afin de télécharger un APK malveillant à l'emplacement suivant sur l'ordinateur infecté:

  • % Windir% \ CrainingApkConfig \ AV-cdk.apk

La DLL peut également télécharger des outils nécessaires tels que Android Debug Bridge (ADB).

Ensuite, il installe la BAD et utilise la commande de la figure 1 pour installer l'APK malveillant à des appareils Android connectés à l'ordinateur infecté:

Figure 1. Commande d'installation de l'APK malveillant

Figure 1. Commande d'installation de l'APK malveillant

L'installation est tenté à plusieurs reprises de manière à assurer qu'un dispositif mobile soit infecté lorsqu'il sera connecté. Une fois l'installation réussie il est demandé que le mode de débogage USB soit activé sur le périphérique Android.

L'APK malveillant est une variante de Android.Fakebank.B , il installe une fausse version de Google App Store .

Figure 2.L'APK Malveillants dans Google App Store

Figure 2.L'APK Malveillants dans Google App Store

Cependant, l'APK malveillant cherche en réalité certaines applications de banque en ligne coréennes sur le dispositif compromis et si il en trouve il incite les utilisateurs à les supprimer et a installer des versions corrompus. Androïd. Fakebank. B intercepte aussi des SMS sur le dispositif compromis et leur envoie à l'emplacement suivant :


http://www.slmoney.co.kr[supprimé]

Figure 3. Extrait du Code malveillant de l'APK

Figure 3. Extrait du Code malveillant de l'APK


veiller à désactiver le mode débogage quand vous n'utilisez pas votre système Android et Soyez prudent lorsque vous connectez votre appareil mobile a un ordinateur

Source: symantec

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article