La société de sécurité Heimdal, à qui l’on doit déjà plusieurs rapports sur les tendances des malwares, a averti récemment d’un puissant malware sévissant sur Android. Équipé de nombreuses fonctionnalités, il peut changer un appareil mobile en véritable zombie. Il n’est pourtant pas difficile à éviter.
Mazar BOT est le nom d’un malware repéré par Heimdal Security (à qui l'on doit la récente analyse de CryptoWall 4.0) et sévissant actuellement sur la plateforme Android. Il a été repéré sous forme de lien dans un SMS envoyé au hasard à des numéros. Le lien conduit vers un fichier APK, format utilisé pour l’installation des applications sur la plateforme mobile. Si l’utilisateur ouvre ce téléchargement (et qu’il a autorisé les installations depuis des sources tierces), le malware se met en place.
De nombreuses fonctionnalités de contrôle
Ses capacités sont particulièrement nombreuses. Il peut lire les SMS reçus et en expédier lui-même, passer des appels aux contacts du répertoire, contaminer Chrome, forcer le téléphone ou la tablette à passer en mode veille, accéder à Internet, lire l’état du téléphone ou interroger le réseau pour en connaître le statut, modifier le fonctionnement des boutons ou encore effacer intégralement le contenu du stockage.
Mazar BOT fait également en sorte de se maintenir dans l’appareil de manière à se relancer automatiquement au démarrage du système. Mais il doit surtout son nom au fait qu’il peut prendre complètement le contrôle d’un smartphone et le faire rejoindre un réseau constitué d’autres appareils zombies (un botnet). Le malware peut également installer un client Tor pour communiquer de manière anonyme, ainsi qu’un proxy (Polipo) pour surveiller tout ce que fait l’utilisateur.
Selon Heimdal, ce puissant malware pourrait bien être d’origine russe. Plusieurs signes pointent en effet en ce sens. D’une part, le fait qu’il ne peut pas être installé sur des appareils Android dont la langue d’utilisation est configurée sur « russe ». D’autre part, l’éditeur n’a repéré aucun cas d’infection dans le pays. Enfin, le code du malware a fait l’objet d’une campagne de vente sur certains forums russes spécialisés.
Un brin de « jugeote »
Cela étant, et en dépit des capacités impressionnantes de ce malware, il n’est pas compliqué de l’éviter. Contrairement à du code qui se baserait sur l’exploitation active de failles non corrigées (un problème récurrent sur Android à cause de la fragmentation élevée de la plateforme), quelques règles d’hygiène élémentaires peuvent suffire.
La plus importante concerne la réception des messages. Dans le cas de Mazar, le texte fait la promotion d’une application de messagerie. Cliquer sur le lien récupère en effet une application du nom très générique « MMS Messaging ». Ce qui revient finalement à ouvrir une pièce jointe dans un email ayant un expéditeur inconnu. Outre cette précaution, ce malware ne peut pas s’installer si le smartphone est toujours réglé pour n’installer des applications que depuis le Play Store de Google. Il s’agit du réglage par défaut sur tous les nouveaux appareils et seule une intervention de l’utilisateur peut la modifier.
Enfin, et même si la case est cochée, l’installation de l’application réclame des droits très importants (passer des appels, envois de SMS, outils système...), ce qui devrait mettre immédiatement la puce à l’oreille de certains utilisateurs.
Ne jamais cliquer sur les liens dans les messages
Ce type de distribution a surtout des chances de fonctionner auprès des utilisateurs anglo-saxons - le message du SMS étant rédigé en anglais – et n’étant pas sensibilisés au monde informatique en général. Pour ceux qui connaissent un tant soit peu la sécurité, la démarche paraîtra louche dès le premier coup d’œil, autant qu’un SMS annonçant que l’on a un message vocal et qu’il suffit de « cliquer sur ce lien pour l’écouter ».
Nul doute cependant qu’un peu d’ingénierie sociale permettrait à Mazar de pousser plus loin sa campagne, mais dans ce cas le conseil resterait le même : n’installez que des applications que vous avez vous-mêmes choisies.
