Vidéo: CE CHEVAL DE TROIE EST INDÉTECTABLE DES ANTIVIRUS ?! (Novembre 2024)
Les chercheurs de Symantec ont découvert que deux applications distribuées sur les marchés chinois exploitent la vulnérabilité "clé principale" d'Android.
La vulnérabilité "clé principale", annoncée plus tôt ce mois-ci, permet aux attaquants de modifier des applications existantes en insérant un fichier malveillant portant exactement le même nom qu'un fichier existant dans le package d'application. Lorsque Android ouvre le fichier de package, il valide la signature numérique du premier fichier et ne valide pas la seconde car il pense qu'il a déjà validé ce fichier. La principale préoccupation était que les pirates pourraient exploiter cette faille pour créer des applications malveillantes pouvant se faire passer pour des applications légitimes et prendre le contrôle à distance des machines des utilisateurs.
Symantec a trouvé deux applications distribuées sur un marché d'applications en Chine qui utilisaient l'exploit. Les applications sont utilisées pour rechercher et prendre rendez-vous avec un médecin, selon un article paru mercredi sur le blog de Symantec Security Response.
"Nous nous attendons à ce que les attaquants continuent à tirer parti de cette vulnérabilité pour infecter les machines d'utilisateurs peu méfiantes", a déclaré le blog.
Le développeur de l'application a exploité cette vulnérabilité pour ajouter un malware, appelé Android.Skullkey. Ce cheval de Troie vole des données sur des téléphones compromis, surveille les textes reçus et écrits sur le combiné et envoie également des SMS à des numéros premium. Le cheval de Troie peut également désactiver les applications logicielles de sécurité mobile installées sur ces appareils.
Google recherche-t-il ces applications?
Le rapport de Symantec a été publié quelques jours après que BitDefender ait trouvé deux applications sur Google Play qui utilisaient également des noms de fichiers en double, mais pas de manière malveillante. Rose Wedding Cake Game et Pirates Island Mahjong contiennent deux fichiers d’image dupliqués (PNG), qui font partie de l’interface du jeu.
"Les applications n'exécutent pas de code malveillant. Elles exposent simplement le bogue Android pour écraser un fichier image dans le package, probablement par erreur", a déclaré Bogdan Botezatu, analyste senior des menaces électroniques à Bitdefender, sur le blog Hot for Security. la semaine.
"Il n'y a aucune raison pour qu'un APK ait deux fichiers portant des noms identiques dans le même chemin", a déclaré Botezatu à SecurityWatch .
Les deux applications ont été mises à jour récemment et il est "particulièrement intéressant" de constater qu'elles n'ont pas déclenché de signaux d'alarme lorsqu'elles ont été analysées par Google Play, a déclaré Botezatu. N'oubliez pas que Google avait déclaré avoir modifié Google Play pour bloquer les applications exploitant cette vulnérabilité. Maintenant, la question semble être juste quand Google a mis à jour le scanner de son marché, puisque le jeu de gâteau de mariage a été mis à jour pour la dernière fois en juin. Ou bien, il se peut que Google ait reconnu que les noms de fichiers d'image en double ne soient pas malveillants, car il n'existait pas de code exécutable et laissaient passer les applications.
Restez à l'écart des marchés non officiels
Comme nous l’avons déjà conseillé, restez sur Google Play et ne téléchargez pas d’applications provenant de sources tierces telles que des places de marché, des forums et des sites Web non officiels. Tenez-vous en à des "marchés d'applications Android réputés" où les applications sont vérifiées et analysées avant d'être répertoriées.
Google a déjà publié un correctif pour les fabricants, mais il appartient aux vendeurs et aux opérateurs de déterminer quand la mise à jour sera envoyée à tous les propriétaires de combinés.
Si vous utilisez CyanogenMod ou d'autres distributions Android qui ont déjà corrigé le bogue, vous êtes protégé de ces types d'applications. Si vous essayez d'installer des applications modifiées de cette façon, vous verrez le message "Le fichier de package n'a pas été signé correctement".
