Vidéo: How To Defeat Anti-VM and Anti-Debug Packers With IDA Pro (Novembre 2024)
Pendant très longtemps, les applications trojanisées étaient pratiquement le seul type de malware sur Android. Il est ridiculement simple de décompiler une application, d'ajuster ses autorisations, d'insérer un module malveillant et de créer une nouvelle version de l'application qui exécute tout ce que l'ancienne avait fait, avec quelque chose de nouveau et de désagréable, comme envoyer des textes à des numéros premium. Oui, les magasins d'applications Android officiels font de leur mieux pour détecter et rejeter ces chevaux de Troie, mais il existe de nombreux sites de téléchargement d'applications non officielles. Dans certains pays, ce sont les seuls endroits où obtenir des applications. Alors que les applications en mode cheval de Troie dominent toujours, les chercheurs de F-Secure découvrent de plus en plus de types de logiciels malveillants Android à l'état sauvage.
Motif de profit
Le rapport indique que plus de 75% des menaces Android actuelles ont pour but de générer des revenus pour leurs créateurs. J'ai demandé à Sean Sullivan, conseiller en sécurité chez F-Secure Labs, ce qui motive les autres. "Espionnage, traque, voleurs d'informations, etc.", a répondu Sullivan. "En outre, collecte des informations de contact à des fins de spam par SMS (grand en Chine)." Dans ce cas, a-t-il expliqué, les informations de contact seraient vendues, mais l'auteur du programme malveillant "ne profite pas directement".
Un cheval de Troie Android relativement récent appelé Stels s'appuie sur des spams pour la distribution. Il est relié au botnet Cutwail, une énorme source de spam dans le monde entier. En tant que courrier électronique de l'IRS, il contient un lien malveillant qui redirige les utilisateurs d'Android vers une page signalant la nécessité de mettre à jour Flash Player. L'installation de la mise à jour présumée donne au cheval de Troie la permission de passer des appels pendant que vous dormez, son créateur gagne de l'argent en appelant des numéros premium.
Le rapport fait référence à ce cheval de Troie appelant des "appels interminables". Aucune de ces phrases n'a sonné la cloche pour moi. Sullivan a expliqué qu'en particulier dans les pays en développement, certains services de facturation utilisent la VoIP pour la partie nationale la plus courte d'un appel et la téléphonie traditionnelle pour la "longue" communication. "Ce type de service de facturation, par ailleurs légitime, peut être utilisé abusivement par des logiciels malveillants", a déclaré Sullivan. "Il est assez difficile de dire à qui appartient un numéro long-long lors de l'examen d'un projet de loi."
Zitmo à vendre
Les chevaux de Troie bancaires tels que Zeus volent vos identifiants bancaires en ligne ou se greffent sur vos sessions bancaires en ligne pour effectuer leurs propres transactions. Lorsque les banques ont ajouté l'authentification à deux facteurs à l'aide d'appareils mobiles, les méchants ont inventé Zeus-in-the-mobile. Appelée Zitmo en abrégé, cette technique permet au cheval de Troie de corrompre l'authentification à deux facteurs. Selon le rapport, l'utilisation de Zitmo ne se limite plus aux "opérateurs Zeus haut de gamme", un nouveau composant appelé Perkele étant désormais disponible sur le "marché des logiciels criminels".
Le rapport note que "quiconque exécute un botnet Zeus peut maintenant trouver des options abordables pour Zitmo". Les chercheurs ont découvert que ce cheval de Troie ciblait des banques italiennes, thaïlandaises et australiennes, chaque instance étant personnalisée pour ressembler à l'image de marque de la banque cible.
Et après?
Le rapport souligne plusieurs autres tactiques de malware qui apparaissent maintenant dans l'arène Android. Des attaques ciblées ont été utilisées contre des activistes tibétains. Une menace que F-Secure appelle SmSilence dérobe des informations personnelles, notamment aux téléphones avec un indicatif régional sud-coréen. Les arnaques aux offres d'emploi fictives amènent les victimes à postuler, à facturer des frais de procédure et à ne rien livrer ensuite.
En pensant au "glissement de fonctionnalités" en cours des techniques de malware de Windows à Android, j'ai demandé à Sullivan ce qu'il espérait voir ensuite. "Je suis déjà un peu surpris", a-t-il déclaré, "que nous n'ayons déjà vu aucune application de grattage de données / photos ciblant des adolescentes (filles) qui soit ensuite utilisée pour tenter de faire chanter / extorquer davantage de documents à la victime." Parlez de fonctionnalité creeps!
Naturellement, le rapport complet va beaucoup plus en détail. Vous pouvez le voir sur le site Web de F-Secure Labs.
