Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Note Sécurité : Diverses applications Mac distribuées gratuitement installent le spyware OSX/OpinionSpy

juin 2010 par Intego Security Alert

Logiciel malveillant : OSX/OpinionSpy

Risque : élevé

Description : Intego a découvert un spyware installé par de nombreuses applications et écrans de veille Mac distribués gratuitement et proposés par un grand nombre de sites Web.

Ce logiciel espion, appelé OSX/OpinionSpy, réalise diverses actions malveillantes, allant de l’analyse de fichiers à l’enregistrement de l’activité de l’utilisateur, en passant par l’envoi d’informations sur cette activité à des serveurs distants et l’ouverture d’une porte dérobée sur les Mac infectés.

De nombreuses applications et écrans de veille distribués sur des sites tels que MacUpdate, VersionTracker et Softpedia installent OSX/OpinionSpy. Le spyware lui-même ne se trouve pas dans ces applications, mais il est téléchargé pendant le processus d’installation. Cela met en évidence la nécessité de disposer d’un programme anti-malware à jour doté d’un scanner en temps réel permettant de détecter ce logiciel malveillant lorsqu’il est téléchargé par le programme d’installation de l’application d’origine. Les informations fournies avec certaines de ces applications contiennent un texte mensonger, que les utilisateurs doivent accepter, selon lequel un programme « d’étude de marché » est installé avec l’application. Certains de ces programmes sont également distribués directement à partir des sites Web des développeurs sans que cet avertissement n’apparaisse.

Ce logiciel malveillant, dont une version existe pour Windows depuis 2008, prétend récolter des informations sur la navigation et les achats des utilisateurs habituellement utilisées dans des études de marché. Néanmoins, ce programme va beaucoup plus loin, car il réalise de nombreuses actions insidieuses qui ont conduit Intego à le classer comme logiciel espion.

OSX/OpinionSpy réalise les actions suivantes :

• Cette application, dépourvue d’interface, est exécutée en tant que « root » (elle demande un mot de passe administrateur lors de l’installation) et dispose de tous les privilèges pour accéder à n’importe quel fichier sur l’ordinateur de l’utilisateur infecté et le modifier.

• Si, pour quelle que raison que ce soit, l’application cesse de s’exécuter, elle est relancée via launchd, la fonction de lancement de services à l’échelle du système.

• Elle ouvre une porte dérobée HTTP à l’aide du port 8254.

• Elle analyse les fichiers de tous les volumes accessibles, ce qui consomme une grande quantité de ressources du processeur. On ne sait pas clairement quelles données elle copie et envoie à ses serveurs, mais elle analyse les fichiers des volumes locaux et réseau, et ouvre potentiellement un grand nombre de fichiers confidentiels du réseau à des intrus éventuels.

• Elle analyse les paquets entrant et sortant du Mac infecté via un réseau local, c’està- dire les données reçues ou envoyées à d’autres ordinateurs. Un Mac infecté peut, par conséquent, collecter un grand volume de données provenant de différents ordinateurs d’un réseau local, comme une entreprise ou un établissement scolaire.

• Elle injecte du code, sans intervention de l’utilisateur, dans Safari, Firefox et iChat, et copie des données personnelles depuis ces applications. L’injection de code constitue un comportement semblable à celui des virus ; ce malware « infecte » des applications lorsqu’elles sont en cours d’exécution afin de pouvoir réaliser ses opérations malveillantes. (Elle infecte le code des applications dans la mémoire du Mac, mais n’infecte pas les fichiers des applications eux-mêmes qui se trouvent sur le disque dur de l’utilisateur.)

• Elle envoie régulièrement des données, cryptées, à une série de serveurs via les ports 80 et 443. Elle envoie des données à ces serveurs concernant des fichiers qu’elle a analysés localement, ainsi que des adresses e-mail, des en-têtes de messages iChat, des URL et d’autres données. Ces données peuvent inclure des données personnelles comme des noms d’utilisateur, des mots de passe, des numéros de carte de crédit, des signets de navigateur Web, des historiques et bien plus encore.

• Compte tenu des données qu’elle rassemble, la société qui se trouve derrière ce spyware peut stocker des enregistrements détaillés concernant les utilisateurs, leurs habitudes, leurs contacts, le lieu où ils se trouvent, etc.

• L’application peut facilement être mise à niveau, avec l’ajout de nouvelles fonctions, sans aucune intervention et à l’insu de l’utilisateur. Elle demande parfois des informations à l’utilisateur, comme son nom, via l’affichage de boîtes de dialogue ou l’invite à répondre à des enquêtes.

• Il arrive dans certains cas que les ordinateurs où ce logiciel espion est installé ne fonctionnent plus correctement après un certain temps. Il est nécessaire de forcer le redémarrage de ces Mac.

• Si l’utilisateur supprime l’application d’origine ou l’écran de veille qui a installé le spyware, le logiciel espion restera installé et continuera de fonctionner. Comme nous l’avons vu, cette application qui prétend collecter des informations pour des raisons d’étude de marché, effectue en réalité beaucoup d’autres opérations, et va jusqu’à analyser tous les fichiers se trouvant sur un Mac infecté. Les utilisateurs n’ont aucun moyen de savoir exactement quelles données sont récupérées et envoyées à des serveurs distants, mais ces données peuvent inclure des noms d’utilisateur, des mots de passe, des numéros de cartes de crédit, etc. Le risque que ces données soient collectées et utilisées sans l’autorisation des utilisateurs rend ce spyware particulièrement dangereux pour ce qui est de la vie privée des utilisateurs.

Le fait que cette application collecte des données de cette manière et qu’elle ouvre une porte dérobée constitue une menace très sérieuse contre la sécurité. En outre, le risque qu’elle récolte des données sensibles comme des noms d’utilisateur, des mots de passe et des numéros de carte de crédit, font de cette application un spyware présentant un risque très élevé. Bien que sa distribution soit limitée, nous encourageons les utilisateurs Mac à redoubler d’attention lorsqu’ils choisissent de télécharger et d’installer un logiciel.

Moyens de protection : Intego VirusBarrier X5 et X6 détectent et éliminent ce logiciel malveillant, qu’ils identifient sous le nom de OSX/OpinionSpy, grâce à leurs filtres contre les menaces datant du 31 mai 2010 ou ultérieurs.




Voir les articles précédents

    

Voir les articles suivants