Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gunpoder : la nouvelle famille de Malware Android découverte par Palo Alto Networks

juillet 2015 par Palo Alto Networks

L’Unit 42, l’équipe de lutte contre les menaces et les virus de Palo Alto Networks, a découvert une nouvelle famille de malware Android qui a réussi à échapper à tous les logiciels antivirus sur le service Web VirusTotal. Nous avons baptisé cette famille “Gunpoder”, d’après le nom du principal composant malveillant. L’équipe Unit 42 a observé 49 échantillons différents issus de trois variantes. Cette découverte montre à quel point est ténue la ligne de démarcation entre les “adware,” qui ne sont normalement pas interceptés par les antivirus, et les malware, qui ont une capacité à nuire.

Des échantillons de Gunpoder ont été envoyés à VirusTotal depuis novembre 2014, mais tous les moteurs d’antivirus le considèrent comme “bénin” ou comme un “adware”. En d’autres termes, les contrôles existants ne peuvent pas empêcher l’installation de ce malware. En étudiant l’échantillon, nous nous sommes aperçus que, s’il présentait en effet de nombreuses caractéristiques spécifiques aux adware, et incorporait d’ailleurs une régie d’adware connue, il était aussi responsable de plusieurs activités délibérément malveillantes. Celles-ci, dont la liste figure ci-dessous, permettent à notre avis de classifier cette famille comme un malware :
• Collecte des informations sensibles des utilisateurs
• Propagation par message SMS
• Envoi potentiel par notification push de publicités frauduleuses
• Capacité à exécuter des charges utiles supplémentaires

Gunpoder cible les utilisateurs Android dans au moins 13 pays : Irak, Thaïlande, Inde, Indonésie, Afrique du sud, Russie, France, Mexique, Brésil, Arabie saoudite, Italie, Etats-Unis et Espagne. L’examen de Gunpoder par rétroingénierie montre que sa propagation épargne les utilisateurs résidant en Chine.

Unit 42 a étudié Gunpoder en se basant sur les données fournies par le service AutoFocus de Palo Alto Networks. Palo Alto Networks a publié des signatures correspondant à la famille des malware Gunpoder. Les utilisateurs de WildFire, Threat Prevention et Mobile Security Manager sont protégés contre Gunpoder.

Des stratagèmes pour éviter la détection

L’examen des échantillons de Gunpoder par rétroingénierie nous ont révélé que le créateur du malware appliquait plusieurs techniques spéciales pour échapper à la détection des antivirus :

 Les échantillons comprennent des régies publicitaires agressives, telles qu’Airpush. Ces régies sont détectées sans difficulté et ont parfois des comportements agressifs. Gunpoder sait les utiliser très adroitement pour masquer les comportements agressifs et éviter leur détection par les moteurs antivirus. Les antivirus déterminent ainsi que Gunpoder est un adware, mais comme ils ne le classifient pas comme délibérément malveillant, ils n’empêchent en général pas son exécution. La Figure 1 affiche les résultats de l’analyse de VirusTotal réalisée sur un échantillon.

 Les utilisateurs ayant exécuté Gunpoder voient s’afficher une notification comprenant la régie Airpush. Nous pensons que cette notification a été ajoutée volontairement pour utiliser Airpush comme bouc émissaire.

 Les échantillons Gunpoder incorporent du code malveillant dans les jeux populaires d’émulation NES (Nintendo Entertainment System), qui sont basés sur une structure de jeu open source (http://sourceforge.net/p/nesoid/code/ci/master/tree/). Palo Alto Networks a en effet observé que les créateurs de malware ont pris l’habitude de reconditionner des applications Android open source en leur intégrant du code malveillant. Gunpoder met à profit cette technique, qui rend difficile la détection de code malveillant lors d’une analyse statique.

 Gunpoder cible des utilisateurs résidant hors de Chine. Les échantillons étudiés prennent en charge les paiements en ligne, notamment PayPal, Skrill, Xsolla et CYPay.


Voir les articles précédents

    

Voir les articles suivants