La société de sécurité Heimdal, à qui l’on doit déjà plusieurs rapports sur les tendances des malwares, a averti récemment d’un puissant malware sévissant sur Android. Équipé de nombreuses fonctionnalités, il peut changer un appareil mobile en véritable zombie. Il n’est pourtant pas difficile à éviter.
Mazar BOT est le nom d’un malware repéré par Heimdal Security (à qui l'on doit la récente analyse de CryptoWall 4.0) et sévissant actuellement sur la plateforme Android. Il a été repéré sous forme de lien dans un SMS envoyé au hasard à des numéros. Le lien conduit vers un fichier APK, format utilisé pour l’installation des applications sur la plateforme mobile. Si l’utilisateur ouvre ce téléchargement (et qu’il a autorisé les installations depuis des sources tierces), le malware se met en place.
De nombreuses fonctionnalités de contrôle
Ses capacités sont particulièrement nombreuses. Il peut lire les SMS reçus et en expédier lui-même, passer des appels aux contacts du répertoire, contaminer Chrome, forcer le téléphone ou la tablette à passer en mode veille, accéder à Internet, lire l’état du téléphone ou interroger le réseau pour en connaître le statut, modifier le fonctionnement des boutons ou encore effacer intégralement le contenu du stockage.
Mazar BOT fait également en sorte de se maintenir dans l’appareil de manière à se relancer automatiquement au démarrage du système. Mais il doit surtout son nom au fait qu’il peut prendre complètement le contrôle d’un smartphone et le faire rejoindre un réseau constitué d’autres appareils zombies (un botnet). Le malware peut également installer un client Tor pour communiquer de manière anonyme, ainsi qu’un proxy (Polipo) pour surveiller tout ce que fait l’utilisateur.
Selon Heimdal, ce puissant malware pourrait bien être d’origine russe. Plusieurs signes pointent en effet en ce sens. D’une part, le fait qu’il ne peut pas être installé sur des appareils Android dont la langue d’utilisation est configurée sur « russe ». D’autre part, l’éditeur n’a repéré aucun cas d’infection dans le pays. Enfin, le code du malware a fait l’objet d’une campagne de vente sur certains forums russes spécialisés.
Un brin de « jugeote »
Cela étant, et en dépit des capacités impressionnantes de ce malware, il n’est pas compliqué de l’éviter. Contrairement à du code qui se baserait sur l’exploitation active de failles non corrigées (un problème récurrent sur Android à cause de la fragmentation élevée de la plateforme), quelques règles d’hygiène élémentaires peuvent suffire.
La plus importante concerne la réception des messages. Dans le cas de Mazar, le texte fait la promotion d’une application de messagerie. Cliquer sur le lien récupère en effet une application du nom très générique « MMS Messaging ». Ce qui revient finalement à ouvrir une pièce jointe dans un email ayant un expéditeur inconnu. Outre cette précaution, ce malware ne peut pas s’installer si le smartphone est toujours réglé pour n’installer des applications que depuis le Play Store de Google. Il s’agit du réglage par défaut sur tous les nouveaux appareils et seule une intervention de l’utilisateur peut la modifier.
Enfin, et même si la case est cochée, l’installation de l’application réclame des droits très importants (passer des appels, envois de SMS, outils système...), ce qui devrait mettre immédiatement la puce à l’oreille de certains utilisateurs.
Ne jamais cliquer sur les liens dans les messages
Ce type de distribution a surtout des chances de fonctionner auprès des utilisateurs anglo-saxons - le message du SMS étant rédigé en anglais – et n’étant pas sensibilisés au monde informatique en général. Pour ceux qui connaissent un tant soit peu la sécurité, la démarche paraîtra louche dès le premier coup d’œil, autant qu’un SMS annonçant que l’on a un message vocal et qu’il suffit de « cliquer sur ce lien pour l’écouter ».
Nul doute cependant qu’un peu d’ingénierie sociale permettrait à Mazar de pousser plus loin sa campagne, mais dans ce cas le conseil resterait le même : n’installez que des applications que vous avez vous-mêmes choisies.
Commentaires (34)
#1
maintenant tant que la connerie sera comme la paire de fesses : la chose la mieux partagée au monde, ce genre de malware perdurera.
Au fait comment dire PEBCAK dans le cas d’un téléphone ? Il n’y a pas de chaise ni de clavier …
#2
un problème récurrent sur Android à cause de la fragmentation élevée de la plateforme
merci aussi au fabricants et operateurs, faut parfois attendre des années avant d’avoir une MAJ selon le telephone et l’operateur…..
mon S5 est toujours bloqué en 5.0.2….sortie en octobre 2014
#3
Tu comprends pas, si tu veux avoir une meilleure expérience utilisateur ou une meilleurs sécurité il faut changer d’appareil !!!!
C’est juste une stratégie commerciale pour faire changer de téléphone plus souvent et réduire les couts
#4
comme souvent la plus grosse faille c’est l’interface clavier/chaise (là tactile/chaise)
#5
Interface oreille/main ??
Interface paume/doigt ??
#6
#7
sauf que la tu peux rajouter la couche constructeur qui est responsable de la non correction des failles critiques qui sont pourtant corrigée par google
#8
#9
PEBEAS : Problem Exists Between Earth And Screen
#10
#11
#12
reste que comme le dit la news, la fragmentation n’a rien à faire dans ce malware.
" />
" />
Même si ton téléphone était en 6.1 le malware fonctionnerai de la même manière … (la nouvelle gestion des autorisation sous Marshmallow n’ayant aucun INpact sur les apps pré-marshmallow si ce n’est la possibilité de désactiver après coup les autorisations).
Mais bordel pourquoi il passe pas par un SMS exploitant stagefright pour se rependre ?
Elles sont si difficile à exploiter ces failles ?
#13
#14
#15
Android c’est p’tre bien sur un Nexus, mais alors sur les autres smartphone, des que t’as une couche constructeur ca devient vite une plaie. Et c’est de pire en pire au fil des mois. Faudrai que google impose des maj obligatoire sinon ca va mal finir
#16
#17
#18
PEBKAG pour ceux qui ne sourient pas (GROUND)
#19
l’installation de l’application réclame des droits très importants
(passer des appels, envois de SMS, outils système…), ce qui devrait
mettre immédiatement la puce à l’oreille de certains utilisateurs.
Et bien en fait, pas tellement. Il est plutôt normal qu’une application de SMS/MMS nécessite des droits importants. Par exemple :
On peut se poser des questions avec des applis aux permissions longues comme le bras. Malheureusement, dans le cas d’une appli SMS/MMS, ce qui se fait aujourd’hui est tellement diversifié (car la concurrence est rude, c’est à celui qui aura le plus de fonctions) que ça ne devrait surprendre personne. Le fait de se faire passer pour ce genre d’appli n’est pas choisi par hasard (surtout pour la lecture des messages. En dehors de ce genre d’appli, cette autorisation ferait tiquer pour n’importe quel autre type d’appli).
#20
en effet, c’est plus par MMS ou encore par des apps qui utilisent la librairie (hangout, waze, telegram ou autre normalement pourrait être des cibles - sauf si ils réencodent les images/mp3 avant de les envoyer aux utilisateurs).
#21
L’avantage du SMS pour la dispersion c’est que tout le monde peut les recevoir j’imagine.
Il est peut être plus difficile d’envoyer un message via une app (hangout etc.) depuis un smartphone aussi. A moins peut être d’émuler un clavier ?
#22
Viens chez Windows phone :) … on a des cookies ! lol
#23
#24
Tout le monde peut les recevoir, mais le pirate ne ciblant que les téléphone Android qui recoivent à 100% les MMS, et dont les API pour envoyer des MMS sont bien ouvertes, j’ai du mal à voir le souci.
" />
Bon je vais me reconvertir dans la création de malware moi
#25
Est-ce que par hasard le nombre de SMS “forfait” serait plus souvent illimité alors que les MMS non ?
#26
bonne remarque … mais bon au pire, le pirate n’a pas l’air d’en avoir grand chose à faire de faire “payer l’utilisateur”
" />
Même si, en effet, le risque serait que l’utilisateur se rende compte du souci et du coup que le pirate perde un “zombie” dans son reseau de zombie…
#27
Petite question, le s4 en Europe c’est du exynos?
Sinon je tourne sur une 6.0.1 aosp sur mon s4 et pareil, la rom peut être utilisé comme daily driver, aucun problème majeur.
#28
#29
Ok si c’est québecois, c’est du qualcom.
Je tourne sur la rom aosp 6.0.1 JDCteam( qui est fourni avec un custom kernel très bien optimisé et quelques tweaks sur la rom dédié au s4) a laquelle j’ai ajouté le xposed framework.
Ça tourne très bien, la batterie tiens bien et j’ai pas eu de bug notoires ( et le capteur IR ne fonctionne pas encore ). Sinon précedemment j’etais sur uneCM 12.1 optimized de la même team.
#30
Alors si j’ai bien compris, pour attraper ce malware il faut :
Il faut quand même sacrément le vouloir pour se faire infecter… En général les Michu ne vont pas farfouiller dans les options, donc même s’ils passent l’étape 1 ils ne satisfont pas la 2 ; et les utilisateurs expérimentés qui passent l’étape 2, soit ne passent pas la 1 soit ne font pas la 4…
Du coup je me demande vraiment qui peut se faire avoir par ce genre de truc ?
#31
Je cours passer la langue de mon téléphone en russe.
" />
#32
Les Michu ont des amis “power-users” qui ont farfouillé dans leur téléphone et fait l’étape 2 (pour leur installer une appli externe). Ensuite les Michu peuvent passer tranquillement à l’étape 3.
" />
#33
Comme souvent avec ce genre de worm, tout tient sur le social engineering ….
Si tu reçois un SMS d’un ami/d’un membre de ta famille qui te dis d’installer cette GENIALE application pour discuter avec moi, il y a une portion non nulle d’utilisateurs qui l’installera …
#34