Les programmes malveillants s'attaquant à Windows Mobile ne sont pas légions mais la richesse des connectivités dont disposent ces terminaux, leur proximité avec l'environnement Windows et leur rôle grandissant comme maillons du réseau d'entreprise constituent autant de raisons de les cibler.

L'éditeur d'antivirus McAfee annonce avoir repéré en Chine le troyen WinCE/InfoJack qui se charge de désactiver la protection contre l'installation de logiciels sur les terminaux Windows Mobile. Le malware récupère plusieurs informations, comme le numéro de série ou le système d'exploitation, qui sont transmises vers son auteur, puis modifie la politique de sécurité de l'appareil pour permettre l'installation de programmes sans que son utilisateur s'en aperçoive.

Celle-ci permet au programme de se mettre à jour automatiquement, voire d'installer d'autres malwares en toute discrétion.

WinCe InfoJack 01 WinCE InfoJack 02

WinCE/InfoJack caché dans des jeux anodins ; autorun créé automatiquement

Un logiciel mal programmé ou un vrai malware ?
WinCE/InfoJack est caché dans des packs d'installation de logiciels légitimes et gratuits comme Google Maps ou des jeux largement distribués sur le Net. D'après McAfee, il s'agissait à l'origine d'une application bénigne simplement chargée de collecter des informations sur les terminaux accédant à un site Web spécifique.

Elle aurait ensuite été détournée de sa fonction première pour prendre une tournure plus nocive. Dans sa version malware, le programme crée une fonction autorun sur la carte mémoire du terminal, utilise la carte mémoire pour s'installer sur d'autres téléphones Windows Mobile dans lesquels la carte est insérée, se protège contre l'effacement et peut modifier la page de démarrage du navigateur Web, en plus de l'installation silencieuse d'applications.

L'auteur du site Web à l'origine de la distribution de WinCE/InfoJack plaide la bonne foi mais McAfee note qu'aucun avertissement n'est formulé à l'utilisateur de cette récupération d'informations le concernant et que d'autre part, aucun outil de désinstallation n'est prévu. Le site a été fermé par les autorités chinoises.