Opfake, le malware Android qui mute à chaque téléchargement

Le par  |  1 commentaire(s) Source : Symantec
Symantec-logo

Dérivé de techniques utilisées parfois sur environnement Windows, Android.opfake se transforme chaque fois qu'il est téléchargé pour éviter d'être repéré par les antivirus.

L'éditeur d'antivirus Symantec signale l'existence d' Android.opfake, un malware qui a la particularité d'être doué de polymorphisme côté serveur. Chaque fois qu'il est téléchargé, il se modifie légèrement pour réduire ses chances d'être détecté par les antivirus faisant classiquement référence à des bases de signatures.

Symantec note que la version source d'Opfake présente sur des serveurs russes est également modifiée régulièrement par ses auteurs pour maintenir sa variabilité. Cette technique, déjà vue pour des logiciels malveillants sur environnement Windows, n'était jusqu'à présent pas spécialement observée pour des malwares mobiles.


Muter pour limiter le repérage
Symantec-logoPour assurer son polymorphisme, Opfake utilise trois techniques : modification de données internes, réarrangement de fichier et insertion de fichiers leurres. Dans certains cas, certains fichiers, contenant une base de données d'opérateurs et des messages SMS associés à des numéros surtaxés, sont modifiés à chaque téléchargement ( modification du texte des SMS par exemple ), conduisant à une variabilité des valeurs CRC du package.

Dans d'autres cas, la modification du code et le réarrangement de certains fichiers produisent un conteneur APK légèrement distinct. Enfin, des fichiers leurres .temp peuvent être associés au package, en nombre variable, et codent une image dont la signification semble être une private joke.

Que peut faire Opfake sur un smartphone Android ? Le malware est capable d'envoyer des SMS surtaxés et peut ouvrir des pages Web spécifiques hébergeant le package. Si son origine semble être russe, le malware est capable d'envoyer des SMS depuis de nombreux pays, dont la France.

Symantec indique que sa solution de sécurité Norton Mobile Security est en mesure de contrer les variantes d'Opfake malgré son polymorphisme et bloque les sites hébergeant le package. L'éditeur recommande également de bien surveiller les permissions lors de l'installation d'une application, notamment si elle demande l'accès à la fonction d'envoi de SMS.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #902421
Je n'ai pas pris un smartphone avec Android en raison de ce genre de problème.

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]