Publié le

Google supprime 60 jeux pour enfant du Play Store à cause d’un malware… gênant

Des chercheurs ont identifié un nouveau malware ayant infecté plus de 60 applications du Google Play Store. Google a rapidement supprimé les applications touchées.

Les applications du Play Store font régulièrement l’objet d’attaques de malwares dû notamment au contrôle réputé plus laxiste de Google sur sa plateforme, comparé à Apple avec iOS. Des chercheurs de Check Point ont par exemple identifié un malware nommé « AdultSwine » affichant des publicités pour du contenu pornographique, des applications frauduleuses, ou de faux services premium.


Des exemples de publicités malveillantes partagés par le malware

Les applications touchées ciblaient en majorités les enfants et étaient relativement populaires, puisque téléchargées entre 3 et 7 millions de fois sur le Google Play Store. Google a déjà confirmé à nos confrères de Reuters avoir supprimé les applications concernées du Play Store, désactivé les comptes des développeurs et affiché des messages d’avertissements aux victimes.

Attention au catalogue du Google Play Store

Comme dans le cas de SonicSpy, l’affaire AdultSwine montre que l’on ne peut malheureusement pas toujours se fier au nombre de téléchargements, ou au Play Store, pour identifier si une application est frauduleuse ou non.

En revanche, la liste des applications touchées montre qu’il s’agissait pour la plupart de jeux utilisant une licence sans autorisation (« fidgetspinnerforminecraft », «Drawing Lessons Angry Birds » …) ou tentant d’imiter le titre d’une licence connue (« Mcqueen Car Racing Game », « Subway Banana Run Surf », …). Ce genre de licence ne sera en général utilisée que par son éditeur officiel, qui a une certification sur le Play Store lorsqu’il est connu.

Reuters

Source: Frandroid

Publié le

40 % des applications Android risquent de mettre en danger vos données

D’après une entreprise spécialisée dans la sécurité informatique, 40 % des applications Android ont des failles dans leur code qui peuvent permettre à des logiciels malveillants d’accéder aux données sensibles des utilisateurs.

La sécurité sur Android est décidément une problématique très épineuse. Codified Security, spécialiste britannique de la sécurité informatique, nous apporte une nouvelle preuve de cette certitude. L’entreprise a en effet publié un rapport dans lequel elle écrit qu’un grand nombre d’applications sur Android ont des failles dans leur code.

Plus précisément, il s’agit de backdoors, ou « portes dérobées » en français. Pour vulgariser, ce sont des failles que des logiciels malveillants peuvent exploiter pour s’infiltrer dans votre système. Ainsi 40 % des applications sur Android sont exposées. Des hackers mal intentionnés peuvent ainsi en profiter pour avoir accès aux données sensibles des utilisateurs.

D’où viennent ces failles ?

Codified Security explique que ces failles sont dues à des bouts de code écrits par les développeurs pendant les phases de test, mais qui sont devenus obsolètes dans la version finale. Or certains créateurs d’applications oublient de retirer lesdites lignes de code avant de publier leurs produits.

Les analystes indiquent également que 3 % des applications Android sont totalement exposées et très faciles à pirater.

Prendre un peu de recul

Il est important toutefois de relativiser ces informations et de ne pas céder facilement à la paranoïa. Codified Security a mené son étude sur 2 000 applications. Un nombre conséquent, mais le Google Play Store en compte des millions. En outre, les noms des applications en question ne sont pas cités et on peut donc penser — ou espérer — que les plus utilisées et les plus connues ne sont peut-être pas concernées.

Quoi qu’il en soit, restez prudents et n’hésitez pas à consulter notre petit tutoriel pour bien protéger votre smartphone.

À lire sur FrAndroid : 9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)

Codified Security

Source: Frandroid

Publié le

Un smartphone Android neuf peut avoir un virus préinstallé dessus

Les employés de deux grandes entreprises ont utilisés 38 smartphones Android sur lesquels des virus étaient préinstallés. Les malwareont été ajouté pendant le processus de distribution et prouve ainsi qu’un téléphone neuf peut être infecté, même si l’utilisateur a pris toutes ses précautions.

C’est la petite information anxiogène du jour. Check Point, une entreprise spécialisée dans la sécurité informatique, a découvert que 38 smartphones Android utilisés par deux compagnies étaient vérolés avant même d’être utilisés par les employés.

Les malwares détectés ne font évidemment pas partie du logiciel de base, mais ils ont été installés subrepticement quelque part dans la chaîne de distribution. Ainsi, au moment d’être livrés aux deux entreprises victimes, les téléphones étaient déjà compromis. Pour six d’entre eux, les virus ont été installés par le biais de privilèges système. Autrement dit, il faut complètement réinstaller le firmware pour nettoyer le téléphone.

Cité par Ars Technica, Daniel Padon, l’un des responsables de l’équipe chargée de surveiller les menaces chez Check Point, raconte que « cette découverte prouve que, même si l’utilisateur est extrêmement prudent, ne clique jamais sur de lien malveillant, ou ne télécharge pas d’application douteuse, il peut quand même être touché par un malware sans même le savoir ». Il ajoute également que « cela doit être une préoccupation pour tous les utilisateurs mobiles ».

Objectif : voler des données et diffuser de la pub

Check Point révèle que la plupart des logiciels malveillants repérés avaient pour but de voler les données des utilisateurs ou de diffuser de la publicité sur les téléphones. L’un des malwares, baptisé Loki, était capable d’acquérir des privilèges système très importants. On peut également mentionner le ransomware (logiciel de rançon) Slocker qui utilisait Tor pour cacher l’identité du hacker.

Parmi les 38 appareils infectés, on peut lister les modèles suivants :

  • Galaxy Note 2
  • LG G4
  • Galaxy S7
  • Galaxy S4
  • Galaxy Note 4
  • Galaxy Note 5
  • Galaxy Note 8
  • Xiaomi Mi 4i
  • Galaxy A5
  • ZTE x500
  • Galaxy Note 3
  • Galaxy Note Edge
  • Galaxy Tab S2
  • Galaxy Tab 2
  • Oppo N3
  • vivo X6 plus
  • Nexus 5
  • Nexus 5X
  • Asus Zenfone 2
  • LenovoS90
  • OppoR7 plus
  • Xiaomi Redmi
  • Lenovo A850

Peu de détails sur l’attaque

L’identité des deux entreprises n’a pas été dévoilée, mais on sait qu’il s’agissait d’une grande compagnie de télécom et d’un groupe technologique multinational.

Le modus operandi de l’attaque est encore assez flou. On ignore ainsi si les deux firmes étaient visées en particulier ou s’il s’agissait d’une offensive opportuniste ne ciblant personne en particulier. La deuxième hypothèse semble être la plus plausible. Enfin, impossible de savoir pour l’instant comment les smartphones infectés ont été obtenus.

Check Point

Source: Frandroid

Publié le

Facebook Lite : attention aux APK infectés par un malware

Un malware a été découvert dans certaines versions de Facebook Lite. Ce trojan vole non seulement des informations personnelles, mais permet également l’installation de code malicieux.

Les malwares sont monnaie courante sous Android, principalement sur les applications téléchargées en dehors des stores traditionnels. C’est ainsi que MalwareByte s’est rendu compte que certains APK de Facebook Lite étaient infectés par un cheval de Troie.

Pour rappel, Facebook Lite est une version allégée de Facebook, permettant non seulement d’accéder au réseau social pour un coût mémoire moindre (l’application pèse moins d’1 Mo), mais également lorsque la connexion n’est pas optimale (ce qui peut s’avérer utile même à Paris tant que la RATP n’a pas rattrapé son retard sur le maillage de son réseau sous-terrain). Malheureusement, cette application n’est disponible officiellement que dans certains pays, obligeant les autres utilisateurs à passer par un fichier APK.

Des paquets vérolés

L’origine des fichiers APK n’est cependant pas toujours garantie et MalwareByte a remarqué deux versions contaminées de l’application tournant sur la Toile. Celles-ci fonctionnent comme prévu, mais contiennent du code malicieux utilisant les services com.google.update.LaunchReceiver et com.google.update.GetInst permettant de voler des données personnelles (IMEI, version du système, adresse MAC, modèle du téléphone, localisation, nom de l’opérateur, numéro de série de la SIM…), mais aussi de télécharger et d’installer du code tiers.

Comment se protéger ?

Les versions en question semblent essentiellement distribuées en Chine à en croire MalwareByte, mais dans le doute, il est toujours conseillé de se procurer ses applications depuis des sources sûres. En dehors du Play Store, on peut par exemple citer APKMirror. Par ailleurs, il est important de vérifier la somme MD5 des paquets téléchargés. Si le code obtenu est l’un de ces deux-là, supprimer le paquet immédiatement :

  • 5345429AB24BB132CFAACE51EFF63C84
  • 628235E3C56651C72326D8F5C713DBC6

À lire sur FrAndroid : Tuto : Comment installer un fichier APK sur un smartphone ou une tablette Android ?

MalwareByte

Source: Frandroid

Publié le

En 2016, les ransomwares ont augmenté de 50 % sur Android

Les logiciels de rançon se sont fortement propagés sur Android au cours de l’année 2016. Un rapport d’ESET affirme que les attaques ransomwares ont augmenté de 50 % pendant cette période.

Un ransomware est un type de logiciel malveillant au fonctionnement très particulier. Ce dernier prend en otage certaines données sensibles de l’utilisateur. Celui-ci doit alors donner de l’argent au hacker pour pouvoir les récupérer. C’est pourquoi on appelle cela un logiciel de rançon — voire « rançongiciel », selon cette page Wikipedia.

Or, sur Android, ces attaques se sont fortement multipliées. D’après ESET, spécialisé dans la sécurité informatique, elles ont progressé de 50 % en 2016 en comparaison de l’année précédente. La hausse a été particulièrement fulgurante au cours des six premiers mois, peut-on lire dans le rapport de l’entreprise (PDF).

 

Bloquer le téléphone

Les ransomwares se cachent souvent dans de fausses applications pornographiques ou dans des antivirus factices. Le logiciel peut parfois bloquer l’utilisation du téléphone pour forcer l’utilisateur à payer. Dans ces cas-là, le message affiché prétend souvent être une réclamation officielle des forces de l’ordre et indique qu’en raison d’activités illégales, la personne doit s’acquitter d’une amende.

ESET précise que 72 % de ces attaques visent des utilisateurs américains. L’explication serait que ces derniers auraient statistiquement plus de chances d’avoir plus d’argent. Par conséquent, ils peuvent rapporter plus aux pirates.

La sécurité sur Android

Android étant un écosystème ouvert — s’opposant ainsi dans sa conception à iOS d’Apple — la question de la sécurité est un enjeu extrêmement important puisqu’il est plus difficile de contrôler toutes les menaces. Les découvertes récentes du très vicieux HummingWhale ou du cheval de Troie Android/TrojanDownloader.Agent.JI en sont la preuve.

Pensez toujours à vous protéger sur Android !

À lire sur FrAndroid : 9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)

ESET (PDF)

Source: Frandroid

Publié le

Android/TrojanDownloader.Agent.JI : derrière ce nom étrange, un malware Android particulièrement vicieux

Un malware sur Android abuse de la naïveté de certains utilisateurs pour obtenir toutes les autorisations nécessaires pour contrôler les smartphones à leur insu afin de les infecter à loisir. Nous vous expliquons comment il fonctionne.

Les malwares sur Android peuvent être extrêmement pernicieux et pervers. En témoigne le retour récent de HummingWhale, l’un des pires virus n’ayant jamais existé au sein de l’écosystème.

Mais un nouveau cheval de Troie vient d’être détecté par ESET, une entreprise spécialisée dans la sécurité informatique. Et ce malware est également très vicieux et, surtout, très dangereux. Les équipes qui l’ont découvert lui ont donné un nom de code très sobre : Android/TrojanDownloader.Agent.JI.

Ce logiciel malveillant tente de tromper les utilisateurs visés afin de prendre le contrôle de leur téléphone et rappelle à quel point la naïveté est un vilain défaut sur le web. Mais comment fonctionne-t-il ? Pour le savoir, commençons par nous intéresser à son terrain de jeu.

Comment fonctionne-t-il ?

Sans surprise, le malware se loge essentiellement sur des sites pornographiques, mais aussi sur certains réseaux sociaux (dont les noms ne sont pas cités par ESET).

Sur lesdits sites, une fenêtre popup vient interrompre la navigation de l’utilisateur pour l’inciter à télécharger une mise à jour d’Adobe Flash Player pour des raisons de sécurité. L’annonce est évidemment fausse. Elle a toutefois le mérite d’être assez crédible et bien faite. Pour certains, ce qui est affiché à l’écran semble tout à fait vrai.

À ce moment-là, le piège ne s’est pas encore refermé. Néanmoins, une fois la fausse application téléchargée et que l’utilisateur a le malheur de l’ouvrir, il devient tout de suite bien compliqué de s’en sortir. En effet, la plateforme va afficher un écran affirmant que la batterie consomme trop d’énergie.

Et ledit écran refuse de disparaître tant que l’on ne respecte pas les fausses indications préconisées. À ce niveau-là, l’utilisateur commence à s’embourber. S’il suit les instructions, c’en est fini de son smartphone. En effet, le malware explique qu’il faut se rendre dans le menu Accessibilité du terminal.

Un faux onglet dans les paramètres

Là-bas, le logiciel malveillant a créé un faux onglet baptisé  « Saving Battery » en anglais, soit « Économiser de la batterie ». Une liste d’autorisations est alors demandée. Le malware veut ainsi obtenir la permission de savoir quand l’utilisateur utilise une application, de récupérer les informations contenues dans les pages avec lesquelles interagit la victime et de naviguer dans les pages (sans doute pouvoir contrôler l’appareil à distance).

Vous l’aurez compris, le smartphone d’un utilisateur qui s’est fait avoir par tous ces subterfuges est condamné. Car une fois que ces autorisations ont été accordées, le malware lance un écran noir, impossible à passer, indiquant qu’un pilote est en train d’être installé pour faire en sorte que la batterie soit moins gourmande.

C’est faux. En réalité, sous l’écran noir, l’application factice tourne en arrière-plan et contacte ses canaux de commandes et contrôles (serveurs C&C). Par ce biais, il obtient une URL depuis laquelle il va télécharger un virus choisi par le hacker. Cela peut-être n’importe quoi : un logiciel d’espionnage, un adware, un programme pour voler les données bancaires…etc.

Se faire passer pour l’utilisateur

C’est là que toutes les autorisations obtenues au préalable entrent en action. Le malware peut en effet se faire passer pour l’utilisateur sans problème et mener toutes les actions qu’il souhaite. Une fois cette vile et basse besogne achevée, l’écran noir disparaît et la victime peut à nouveau utiliser son terminal normalement… à un détail près : celui-ci est désormais affecté.

Lien Youtube

Comment se protéger ?

Pour savoir si vous avez été touché par Android/TrojanDownloader.Agent.JI, il suffit d’aller dans « Accessibilité » dans vos paramètres et voir si l’onglet « Économiser de la batterie » apparaît. Si c’est le cas, il faut désinstaller « Flash-Player » dans le gestionnaire d’applications. Dans certains cas, il vous faudra passer par le gestionnaire des droits d’administrateur pour réussir à la supprimer.

Cependant, même après cela, n’hésitez pas à lancer un scan de votre appareil avec un antivirus. Le malware aura en effet sans doute eu le temps d’installer un grand nombre de programmes infectant le smartphone. Vous pouvez aussi suivre notre tutoriel pour être sûr d’avoir un smartphone sûr. Notez d’ailleurs que le malware touche toutes les versions d’Android, même la version 7.0 Nougat.

À lire sur FrAndroid : 9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)

 

ESET (We Live Security)

Source: Frandroid