Malware Android plus sournois découvert

Deux bits récents de la recherche ont mis au jour certains logiciels malveillants méchant qui ciblent les appareils Android. Le premier est une variante du malware DroidKungFu qui utilise Android exploits connus pour extirper le dispositif de la victime et lui-même installer insu de l'utilisateur. La seconde, appelée TigerBot, diffère de logiciels malveillants «traditionnelle» en ce qu'elle est contrôlée par SMS plutôt que de partir d'une commande contrôle (CC) serveur sur Internet. Les deux morceaux de logiciels malveillants sont les plus répandus sur les marchés alternatifs, qui souligne à nouveau la nécessité de la prudence au moment de sortir de Google Play ou l'Amazon Appstore.

DroidKungFu

Découvert dans le milieu de l'année dernière, l'DroidKungFu initiale visait locuteurs chinois et a été trouvé dans d'autres marchés de l'app chinois. Cependant, au fil du temps il a été modifié et n'a, à un certain point, trouver son chemin dans le marché officiel Android. La version originale comprenait deux exploits intégrés qui pourraient éradiquer appareils avec Android jusqu'à et y compris Android 2.2.1. Avec la plupart des utilisateurs allant au-delà 2.2.1, la prochaine variante ignoré la nécessité d'enraciner et de dispositifs dispositifs seulement attaqués qui avait été préalablement enracinées par les utilisateurs. Si le logiciel malveillant trouvé son chemin sur un dispositif qui n'a pas été enracinée il proposait aux utilisateurs des instructions utiles sur la façon d'extirper le dispositif. Comme c'est gentil!



La dernière version intègre le GingerBreak populaire exploiter, ce qui signifie que DroidKungFu silencieusement enraciner l'appareil et installer lui-même que les logiciels malveillants sans aucune interaction de l'utilisateur. GingerBreak utilise un bug dans le volume de Vold gestionnaire démon sur Android 3.0 et 2.x avant 2.3.4. Le démon se confie explicitement messages qui sont reçus à partir d'une prise de PF_NETLINK, et en utilisant un indice négatif, il est possible de déclencher une corruption de mémoire qui permet l'exécution de code arbitraire et, finalement, l'octroi de privilèges root.

Ce malware a été caché dans diverses applications, y compris une copie pleinement fonctionnelle de l'espace Angry Birds a récemment publié. De toute évidence, les pirates espèrent capitaliser sur la popularité de la série Angry Birds. A cette époque, le malware a ne pas été vu dans Google Play.

TigerBot

Un aspect commun de logiciels malveillants Android est l'utilisation d'un commandement et un contrôle serveur qui raconte le malware quoi faire et agit comme un référentiel pour les mots de passe ou des informations saisies bancaires. TigerBot, découvert par le Centre de recherche sur la sécurité mobile NQ en collaboration avec l'équipe du Dr Xuxian Jiang à North Carolina State University, est différente, en ce qu'elle est contrôlée via des messages texte.



Les informations actuelles à propos de ce malware montrer qu'il peut exécuter une série de commandes en transférant notamment l'emplacement actuel du téléphone, envoyer des messages SMS, et même l'enregistrement des appels téléphoniques. Il fonctionne en interceptant les messages SMS envoyés sur le téléphone et de vérifier pour voir si elles sont des commandes pour d'agir. Si elles le sont, il exécute la commande, puis empêche le message d'être vu par l'utilisateur.

TigerBot essaie de se cacher à l'utilisateur par ne montrant aucun icône sur l'écran d'accueil et en utilisant des noms d'applications légitimes de sondage (comme System) ou en copiant des noms de fournisseurs de confiance comme Google ou Adobe.

Méfiez-vous des logiciels malveillants

Comme toujours, vous devez être vigilant pour assurer que votre appareil ne devient pas infecté:

  • Seulement télécharger des applications à partir d'applications de confiance des marchés, et toujours vérifier les commentaires, évaluations et informations de développeur avant de télécharger.
  • Regardez ce que les autorisations sont demandées par une application et ne jamais installer une application qui demande plus que ce dont il a besoin. Par exemple une application ne devrait pas besoin d'être en mesure de lire des messages SMS (android.permission.READ_SMS ou android.permission.RECEIVE_SMS) sauf si elle est une application de SMS liés.
  • Soyez à l'affût des comportements inhabituels sur votre téléphone, y compris les frais étranges à votre facture de téléphone ou d'applications inattendues qui se lancent au démarrage ou lorsque l'appareil est verrouillé.



» » » Malware Android plus sournois découvert