S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Geinimi : un malware pour Android aux capacités de botnet

La marche des téléphones zombies

Lorsque l’on parle de sécurité, on retrouve toujours l’éternel débat : dans quelles proportions les parts de marché et donc le succès d’un produit influent-ils sur le risque de voir arriver des malwares ? Android représente dans tous les cas la plateforme montante actuelle, sa souplesse lui permettant d’être utilisé sur bien des appareils différents. Selon l’éditeur Lookout, un malware réellement très sérieux se balade actuellement en territoire chinois : Geinimi.

android marketandroid market

Selon le blog de Lookout, il s’agit de la vraie première menace sérieuse qui pèse sur Android depuis son arrivée. Il s’agit en effet d’un malware « mobile », mais Geinimi a tout d’un grand. Il peut en effet :
  • Envoyer les coordonnées de géolocalisation
  • Envoyer l’identifiant du téléphone (IMEI ou IMSI)
  • Télécharger une application et demander à l’utilisateur de l’installer
  • Demander à l’utilisateur de désinstaller une application
  • Dresser une liste des applications installées et l’envoyer
Lookout indique qu’il s’agit du premier malware Android montrant des capacités rappelant les botnets. Geinmi peut en effet être piloté à distance par une seule personne. La seule véritable frontière est la demande de confirmation pour les installations et désinstallations d’applications.

Mais comment Geinimi vient s’installer sur les smartphones Android ? Lookout explique :

« Geinimi est effectivement greffé sur des versions repackagées d’applications légitimes, essentiellement des jeux, et distribuées sur des boutiques en ligne tierces chinoises. Les applications ainsi affectées demandent des droits étendus qui vont plus loin que celles demandées par les versions d’origine des applications légitimes. Bien que l’intention de ce troyen ne soit pas entièrement claire, les possibilités d’intention vont du réseau publicitaire malveillant à la tentative de créer un botnet Android ».

Lors de sa première exécution, Geinimi a déjà collecté une somme conséquente de données, dont les coordonnées géographiques ainsi que les identifiants uniques du téléphone. À intervalles réguliers de cinq minutes, Geinimi tente de se connecter à un serveur distant, dont l’adresse est piochée dans une liste interne de dix références. On retrouve ainsi les domaines www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com ou encore www.piajesj.com. En cas de connexion réussie, les données sont envoyées.

Lookout signale que l’ensemble des propriétés de ce malware en font une première, notamment par les auteurs ont manifestement fait des efforts pour que Geinimi masque ses activités (obfuscation). En outre, une bonne partie des données contenant les commandes est chiffrée. L’éditeur indique que ces techniques n’ont pas causé de vrai problème, mais qu’elles ont revanche fait grimper la barre en ce qui concerne les analyses.

La menace serait pour l’instant essentiellement cantonnée à la Chine, mais Lookout n’interdit pas la présence de Geinimi dans d’autres boutiques tierces. Toujours selon l’éditeur, aucun signe de la présence de ce malware n’a été relevé dans l’Android Market officiel. Et de rappeler les règles de base pour se préserver de ce genre de mésaventure :
  • Ne télécharger des applications que depuis les boutiques sûres, notamment celles où l’on peut lire le nom de l’éditeur, les critiques et la note en étoiles
  • Toujours vérifier les permissions accordées à une application. Le sens commun devrait permettre de bien vérifier que les permissions demandées correspondent aux vrais besoin de l’application.
  • Surveiller tout comportement étrange du téléphone, comme la présence d’applications non demandées, l’envoi automatique de SMS à des destinataires inconnus ou des appels lancés sans intervention de l’utilisateur.
Évidemment, Lookout prêche pour sa paroisse : est bien entendu recommandé à l’utilisateur d’installer une application de sécurité qui surveillera l’ensemble de ces comportements étranges. Lookout précise d’ailleurs que la sienne est déjà prête pour Geinimi. 
Source : Lookout
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 30/12/2010 à 16:39

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;