Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Une nouvelle campagne d’attaque de type "Drive By Donwload" cible les smartphones Android

mars 2012 par CERT-XMCO

* Android smartphones infected via drive-by exploit

 Date : 02 Mars 2012

 Criticité : Elevée

 Description : Dans le cadre de l’édition 2012 de la conférence internationale RSA, les deux spécialistes George Kurtz et Dmitri Alperovitch viennent de présenter un malware du type "RAT" (Remote Access Tool) ciblant les smartphones Android.

Pour s’installer, le malware exploiterait une faille de sécurité non corrigée au sein du moteur WebKit utilisé par le navigateur Web présent au sein d’Android. Pour monter cette attaque, il semblerait d’après les deux chercheurs que les pirates aient simplement acheté différents outils vendus sur des sites "underground". Selon leur estimation, la mise en place de l’ensemble des composants utilisés dans le cadre de cette attaque n’aurait couté pas plus de 1400 dollars.

Pour infecter les smartphones, les pirates envoient un SMS aux utilisateurs en usurpant l’identité de leur opérateur. Le message leur demande de télécharger une mise à jour importante depuis un lien inséré dans le SMS. Lorsque l’utilisateur clique sur le lien, la page malveillante est automatiquement ouverte par le navigateur, et la faille (impactant le moteur WebKit) exploitée. Cette dernière étape provoque cependant un redémarrage intempestif du smartphone.

D’après les chercheurs, le malware installé serait basé sur "Nickspy", un cheval de Troie connu des cyber-criminels depuis longtemps. Celui-ci aurait cependant été légèrement modifié dans le cadre de cette campagne de "Drive By Download". Le malware serait capable d’enregistrer les conversations téléphoniques, d’activer la caméra, d’enregistrer les numéros de téléphone appelés, d’accéder aux SMS reçus, ainsi que d’envoyer la position GPS du smartphone aux pirates. L’ensemble de ces données serait collecté sur un serveur de Command & Control mis en place pour l’occasion par les pirates. Celui-ci serait relativement évolué, puisque les pirates n’auraient qu’à cliquer sur l’icône d’un smartphone affiché sur une carte Google Maps afin d’accéder aux données personnelles qu’il contient.

Enfin, d’après les chercheurs, il semblerait que cette attaque soit particulièrement ciblée.

 Référence :

http://www.h-online.com/security/news/item/Android-smartphones-infected-via-drive-by-exploit-1446992.html

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0331


Voir les articles précédents

    

Voir les articles suivants