Plusieurs développements récents en matière de logiciels malveillants mobiles concourent à augmenter le niveau de menace pour Android utilisateurs, ce qui permet aux attaquants de convertir plus facilement des applications légitimes en applications malveillantes et de saper la technologie utilisée par les experts en sécurité pour faire la différence.
Source : Symantec
La semaine dernière, Symantec averti à propos d’une nouvelle boîte à outils ou « classeur » de logiciels malveillants conçue pour trojaniser des applications Android légitimes avec une porte dérobée qui permet aux malfaiteurs d’accéder à distance aux appareils mobiles infectés. Les classeurs existent dans une variété de saveurs depuis de nombreuses années, mais ils sont généralement utilisés pour détourner les applications Microsoft Windows.
Symantec note que le pointer-cliquer Androrat APK Classeur est utilisé conjointement avec un cheval de Troie d’accès à distance open source pour les appareils Android appelé appelé AndroRAT. « Comme les autres RAT, il permet à un attaquant distant de contrôler l’appareil infecté à l’aide d’un panneau de contrôle convivial », a déclaré Symantec. Andréa Lelli a écrit. « Par exemple, lors de l’exécution sur un appareil, AndroRAT peut surveiller et passer des appels téléphoniques et des messages SMS, obtenir les coordonnées GPS de l’appareil, activer et utiliser la caméra et le microphone et accéder aux fichiers stockés sur l’appareil. »
La société a déclaré qu’elle n’avait détecté que quelques centaines d’infections à AndroRAT dans le monde, mais qu’elle s’attend à ce que ce nombre augmente à mesure que de nouveaux outils pour AndroRAT, tels que le classeur APK, émergent.
Plus inquiétant peut-être, Symantec a déclaré cette semaine avoir découvert deux applications Android malveillantes dans la nature qui profitent d’une faille de sécurité récemment découverte et potentiellement assez grave dans les applications Android. Comme indiqué pour la première fois il y a environ deux semaines par des chercheurs de Sécurité BlueBox, la vulnérabilité dite « Master Key » pourrait permettre aux attaquants de convertir presque n’importe quelle application Android en cheval de Troie, le tout sans altérer sa signature numérique cryptographique. Android utilise ces signatures pour déterminer si une application est légitime et pour vérifier qu’une application n’a pas été falsifiée ou modifiée.
Selon BlueBox, le bogue affecte tous les appareils Android sortis au cours des quatre dernières années, soit près de 900 millions d’appareils. BlueBox a déclaré avoir partagé en privé les détails du bogue avec Google en février 2013, mais qu’il appartient aux fabricants d’appareils de produire et de publier des mises à jour du micrologiciel pour les appareils mobiles (et en outre aux utilisateurs d’installer ces mises à jour). « La disponibilité de ces mises à jour variera considérablement en fonction du fabricant et du modèle en question », a déclaré BlueBox. Jeff Forristal a écrit dans un article de blog annonçant leurs recherches. Forristal a ajouté que plus de détails sur la faille seront publiés la semaine prochaine lors de la conférence sur la sécurité Black Hat à Las Vegas.
Un correctif non officiel pour cette vulnérabilité est maintenant disponible pour les utilisateurs d’Android qui utilisent un appareil rootéVoir cette annonce à partir de Sécurité duo à propos de ce correctif.
Les utilisateurs mobiles qui comptent sur iOS d’Apple les protéger des applications malveillantes peut donner l’impression d’être en sécurité en comparaison, mais deux autres développements récents pourraient avoir des implications en matière de sécurité pour les utilisateurs d’iOS. Pour commencer, Apple divulgué dimanche que des intrus avaient piraté le site Web de son développeur et s’étaient peut-être enfuis avec les noms, l’adresse postale et/ou les adresses e-mail de ses développeurs d’applications. Un chercheur indépendant plus tard revendiqué la responsabilité pour l’incident, affirmant qu’il avait alerté Apple et n’avait aucune intention malveillante autre que de démontrer l’accès aux données, mais de telles informations pourraient être très utiles aux malfaiteurs cherchant à attaquer et à compromettre les systèmes des développeurs d’applications iOS.
La conférence Black Hat de la semaine prochaine présentera une conférence sur une vulnérabilité mobile multiplateforme ; chercheur en cartes à puce et expert en cryptographie Karsten Nohl discutera des moyens de contrôler à distance et également cloner certaines cartes SIM mobiles. On ne sait pas combien de fournisseurs de téléphonie mobile différents peuvent être affectés par cette faille, mais pour l’instant, il semble que les téléphones AT&T et Verizon ne soient pas vulnérables.
Une dernière note : pour les lecteurs qui sont abonnés à ma newsletter par e-mail sur un compte Gmail, la nouvelle approche de la boîte de réception de Google enterre mes newsletters dans son onglet « promotions » ; pour recevoir ma newsletter normalement, déplacez-la vers votre boîte de réception Gmail principale et ce choix devrait rester. Vous pouvez également cliquer sur l’icône plus (+) à côté de l’onglet Promotions et désélectionner toutes les cases cochées pour ramener votre Gmail à sa configuration précédente sans l’approche des onglets.