Opfake, le malware Android qui mute à chaque téléchargement

Le samedi 04 Février 2012 à 00:20 par Christian D. Source : Symantec

Dérivé de techniques utilisées parfois sur environnement Windows, Android.opfake se transforme chaque fois qu'il est téléchargé pour éviter d'être repéré par les antivirus.

L'éditeur d'antivirus Symantec signale l'existence d' Android.opfake, un malware qui a la particularité d'être doué de polymorphisme côté serveur. Chaque fois qu'il est téléchargé, il se modifie légèrement pour réduire ses chances d'être détecté par les antivirus faisant classiquement référence à des bases de signatures.

Symantec note que la version source d'Opfake présente sur des serveurs russes est également modifiée régulièrement par ses auteurs pour maintenir sa variabilité. Cette technique, déjà vue pour des logiciels malveillants sur environnement Windows, n'était jusqu'à présent pas spécialement observée pour des malwares mobiles.

Muter pour limiter le repérage
Symantec-logo Pour assurer son polymorphisme, Opfake utilise trois techniques : modification de données internes, réarrangement de fichier et insertion de fichiers leurres. Dans certains cas, certains fichiers, contenant une base de données d'opérateurs et des messages SMS associés à des numéros surtaxés, sont modifiés à chaque téléchargement ( modification du texte des SMS par exemple ), conduisant à une variabilité des valeurs CRC du package.

Dans d'autres cas, la modification du code et le réarrangement de certains fichiers produisent un conteneur APK légèrement distinct. Enfin, des fichiers leurres .temp peuvent être associés au package, en nombre variable, et codent une image dont la signification semble être une private joke.

Que peut faire Opfake sur un smartphone Android ? Le malware est capable d'envoyer des SMS surtaxés et peut ouvrir des pages Web spécifiques hébergeant le package. Si son origine semble être russe, le malware est capable d'envoyer des SMS depuis de nombreux pays, dont la France.

Symantec indique que sa solution de sécurité Norton Mobile Security est en mesure de contrer les variantes d'Opfake malgré son polymorphisme et bloque les sites hébergeant le package. L'éditeur recommande également de bien surveiller les permissions lors de l'installation d'une application, notamment si elle demande l'accès à la fonction d'envoi de SMS.

Complément d'information

Instagram et Android : méfiez-vous du malware !

Instagram rencontre un véritable succès sur smartphone. Une fausse application circule actuellement sur les boutiques non officielles d'applications Android.
Foncy : malware Android visant les utilisateurs français

L'éditeur Fortinet met en garde les utilisateurs français contre Foncy, un malware sur Android caché dans une version vérolée de l'application légitime SuiConFo.