Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Lookout : « Bad News », un nom prédestiné pour une application malveillante de SMS surtaxés

avril 2013 par Lookout

Lookout a mis au jour BadNews, une nouvelle souche de programmes malveillants présents dans 32 applications associées à quatre comptes de développeurs sur Google Play.

Selon les statistiques de Google Play, les applications contaminées ont été téléchargées au total entre 2 millions et 9 millions de fois. Lookout a alerté Google, qui a aussitôt retiré les applications incriminées de sa plate-forme et fermé les comptes des développeurs associés, en attendant les résultats de l’enquête lancée. Tous les utilisateurs de Lookout sont protégés contre ces nouvelles menaces.

BadNews se fait passer pour un réseau publicitaire d’apparence innocente, mais relativement intrusif. Il a la capacité d’envoyer de faux messages à caractère informatif qui invitent les utilisateurs à installer les applications et à envoyer des informations sensibles telles que le numéro du téléphone et l’identifiant de l’appareil à son serveur C&C (Command and Control). BadNews exploite sa capacité à afficher de faux messages dans le but de diffuser des programmes malveillants de monétisation et de pousser des applications affiliées.

Ayant mené l’enquête, Lookout a découvert que BadNews poussait AlphaSMS, un programme d’envoi de SMS surtaxés, sur les appareils infectés.

BadNews est une évolution de taille dans le domaine des programmes malveillants visant les appareils mobiles, puisqu’il parvient à se diffuser très largement grâce à un serveur qui retarde le déclenchement de ses activités nocives. Un bon moyen de leurrer les systèmes de traque d’applications malveillantes, qui après avoir jaugé le nouveau venu estiment qu’il est sans danger.

Lookout en a tiré deux grands enseignements :

Les développeurs doivent être vigilants quant aux librairies tierces qu’ils incluent éventuellement dans leurs applications. Si elles sont douteuses, leur réputation en souffrira et la sécurité des utilisateurs sera menacée.
Les responsables informatiques des entreprises doivent partir du principe que les systèmes de repérage et de blocage d’applications malveillantes ne sont pas efficaces, même les meilleurs, face à BadNews, puisqu’il patiente longuement avant d’accomplir son œuvre. Une surveillance permanente doit être mise en place pour repérer toute activité douteuse survenant par la suite, en lien avec une application pourtant considérée comme légitime au départ.

Quel impact ?

La moitié des applications repérées se trouvent en Russie. Le programme AlphaSMS a été conçu pour des fraudes aux SMS surtaxés dans la Fédération de Russie et dans les pays voisins tels que l’Ukraine, la Biélorussie, l’Arménie et le Kazakhstan. A noter que les personnes qui contrôlent ce programme malveillant l’utilisent également pour pousser leurs autres applications moins populaires contenant elles aussi BadNews.

La liste des icones des applications renfermant BadNews et repérées dans le Google Play Store par Lookout :

Le tableau suivant présente chacune des 32 applications malveillantes repérées, avec les volumes de téléchargements constatés :

L’avis de Lookout

BadNews a été conçu pour avoir l’apparence d’un banal kit de développement logiciel (SDK) pour réseaux publicitaires, et est embarqué dans un grand nombre d’applications inoffensives, allant de dictionnaires russes à des jeux très populaires. Il diffuse le même programme malveillant que Lookout a repéré sur de nombreux sites web douteux de marketing d’affiliation. En outre, il est apparu que BadNews pousse d’autres applications affiliées moins populaires, notamment une de régimes en russe, contenant également BadNews.

Difficile encore de dire si certaines de ces applications, ou toutes, ont été lancées dans le but évident d’héberger BadNews, ou si des développeurs honnêtes se sont fait berner, en étant amenés à leur insu à installer un réseau publicitaire malveillant. D’après l’analyse du code par Lookout, tout laisse à penser que BadNews est un SDK à but de monétisation frauduleuse.

Le mode de fonctionnement

Une fois activé, BadNews interroge son serveur C&C toutes les quatre heures pour obtenir de nouvelles instructions, tout en lui transmettant des données sensibles - les numéros de téléphone et de série (IMEI) de l’appareil.

Le serveur répond avec de nouvelles consignes, comme par exemple celles d’afficher des mises à jour (fausses) à l’intention des utilisateurs, ou d’inviter à installer l’application téléchargée.

Voici un exemple d’affichage d’informations :

Traduit du russe, ce message signifie « mise à jour critique de Vkontakte ». Il fait référence à la publication d’une mise à jour pour une application de réseau social russe très populaire. Lookout a également observé des messages de « mise à jour » communiqués via Skype.

Dans chacun des cas, l’URL pointe vers une page de téléchargement de l’application AlphaSMS, sous le prétexte fallacieux d’installer des logiciels disponibles gratuitement. Dans les faits, il a pour mission de déclencher l’envoi de SMS surtaxés indésirables.

La plupart des actions conduisent au téléchargement du programme AlphaSMS. Dans les autres cas, il s’agit de promotion croisée concernant d’autres applications infectées listées sur Google Play.

Les fichiers portent l’extension .APK, avec par exemple « skype_installer.apk », « mail.apk » ou encore « vkontakte_installer.apk », dans le but de leurrer l’utilisateur pour qu’il octroie les permissions demandées pendant l’installation du fichier. Les noms de fichier ont été judicieusement choisis pour faire écho à la mise à jour de sécurité annoncée dans le message d’information reçu.

Il apparaît de surcroît qu’une grosse partie du code de BadNews provient d’autres familles de programmes malveillants elles aussi utilisées pour des arnaques aux SMS surtaxés en Europe de l’Est. Le schéma ci-dessous présente les similitudes au niveau de la structure du programme, des noms de classe et de méthode ainsi que des variables entre BadNews et RuPaidMarket.m.

Schéma des similitudes relevées dans le code de BadNews et de RuPaidMarket, autre « malware » bien connu

Serveurs C&C (Command & Control)

Lookout a repéré trois serveurs C&C - un en Russie, le deuxième en Ukraine et le troisième en Allemagne. Tous trois sont pour le moment actifs mais Lookout fait le maximum pour les faire mettre hors de service.

Comment s’en prémunir ?

· Dans les configurations système d’Android, il faut s’assurer que la case « Sources inconnues » n’est pas cochée, pour éviter l’installation fortuite ou indésirable d’applications.

· Il est conseillé de télécharger une application de protection pour mobiles telles que celle de Lookout qui bloque les programmes malveillants.


Voir les articles précédents

    

Voir les articles suivants