Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Premier cas de diffusion d’un cheval de Troie via les mobiles par le biais de botnets ‘étrangers'

21 Septembre 2013 , Rédigé par nicko

Au cours des trois derniers mois, les analystes de Kaspersky Lab ont étudié la manière dont est diffusé le cheval de Troie Obad.a, une application malveillante pour Android.

Premier cas de diffusion d’un cheval de Troie via les mobiles par le biais de botnets ‘étrangers'

Il apparaît que les criminels derrière ce cheval de Troie ont adopté une nouvelle technique pour diffuser leurs maliciels. Pour la première fois dans l’histoire de la cybercriminalité mobile, un cheval de Troie est propagé à l’aide de botnets contrôlés par d’autres groupes criminels. Il est également apparu clairement qu’Obad.a se trouve principalement dans des pays de la CEI. Au total, 83% des tentatives d’infection ont été enregistrées en Russie, tandis qu’elles ont aussi été détectées sur des appareils mobiles en Ukraine, en Biélorussie, en Ouzbékistan et au Kazakhstan.

Le modèle de diffusion le plus intéressant a permis la propagation de différentes versions d’Obad.a avec Trojan-SMS.AndroidOS.Opfake.a. Cette tentative de double infection débute par un SMS envoyé à des utilisateurs, les incitant à télécharger un SMS reçu récemment. Si la victime clique sur le lien, un fichier contenant Opfake.a est téléchargé automatiquement sur le smartphone ou la tablette.

Le fichiers malveillant peut uniquement être installé si l’utilisateur le lance par la suite; dans ce cas, le cheval de Troie envoie d’autres SMS à tous les contacts présents sur l’appareil qui vient d’être infecté. Le simple fait de cliquer sur le lien contenu dans ses messages télécharge Obad.a. Il s’agit d’un système bien organisé: un fournisseur de réseau mobile russe a signalé plus de 600 messages contenant ces liens en cinq heures à peine, ce qui indique une propagation en masse. Dans la plupart des cas, les maliciels ont été diffusés à l’aide d’appareils déjà infectés.

Hormis l’utilisation de botnets mobiles, ce cheval de Troie très complexe est également diffusé par du spam SMS. Il s’agit d’un vecteur important du cheval de Troie Obad.a. Généralement, un SMS avertissant l’utilisateur de « dettes » impayées incite les victimes à suivre un lien qui télécharge automatiquement Obad.a sur l’appareil mobile. A nouveau, cependant, les utilisateurs doivent exécuter le fichier téléchargé pour que le cheval de Troie s’installe.

De fausses boutiques d’applications propagent également Backdoor.AndroidOS.Obad.a. Elles copient le contenu de pages Google Play, en remplaçant les liens légitimes par des malveillants. Lorsque des sites légitimes sont piratés et que les utilisateurs sont redirigés vers des sites dangereux, Obad.a vise exclusivement les utilisateurs mobiles. Alors que les utilisateurs d'Android courent maintenant un risque directe, smartphones et tablettes avec d’autres systèmes d’exploitation peuvent également être redirigés vers les faux sites Web. Des victimes potentielles qui visitent le site à partir d'un PC ne sont pas en danger.

“En trois mois, nous avons découvert 12 versions de Backdoor.AndroidOS.Obad.a. Toutes présentaient le même ensemble de fonctions et un niveau élevé de camouflage de code, et chacune exploitait une faille du système d’exploitation Android qui donne au logiciel malveillant des droits DeviceAdministrator, le rendant ainsi plus difficile à supprimer. Dès que nous avons fait ces découvertes, nous avons informé Google et la faille a été corrigée dans Android 4.3. Néanmoins, seul un nombre limité de nouveaux smartphones et tablettes exécutent cette version, et les appareils plus anciens tournant sous des versions précédentes sont toujours en danger. Obad.a, qui exploite de nombreuses vulnérabilités non publiées, ressemble davantage à des maliciels Windows qu’à d’autres chevaux de Troie pour Android,” a précisé Roman Unuchek, l’un des principaux experts antivirus chez Kaspersky Lab.

Pour en savoir plus sur la diffusion d’Obad.a, veuillez vous reporter à securelist.com.

Source: kaspersky

Partager cet article

Repost 0

Commenter cet article