Une charge utile malveillante sensible aux mouvements

Le par  |  1 commentaire(s)
Android-rouge

Un malware Android qui ne se déclenche que si l'utilisateur est en mouvement. Sinon, ce serait révélateur d'une analyse de sécurité.

Dans le Google Play Store, les chercheurs de Trend Micro ont découvert deux applications Currency Converter et BatterySaverMobi qui se présentaient comme un outil de conversion des monnaies et pour la gestion de la batterie du smartphone.

Trend-Micro-Currency-Converter Trend-Micro-BatterySaverMobi

Leur but réel était toutefois d'injecter une charge utile malveillante, et qui plus est en lien avec le malware bancaire Anubis. Le ménage a été fait par Google, mais l'analyse de Trend Micro a mis au jour une curiosité pour éviter une détection.

Les applications ont ainsi surveillé les mouvements de l'utilisateur via les données de capteurs de l'appareil. Faute de mouvements, la charge utile malveillante n'était pas déclenchée. Dans le cas contraire, les applications affichaient une fausse demande de mise à jour système afin d'inciter l'utilisateur à installer Anubis à son insu.

Trend-Micro-Anubis
Cette tactique de dissimulation aurait eu pour objectif de trahir une analyse de sécurité, en supposant que l'absence de données de capteurs est synonyme d'exécution dans un environnement de sandbox. En l'occurrence, les émulateurs utilisés par les chercheurs en sécurité, voire par Google.

D'autres filoutages ont également été employés une fois l'installation d'Anubis, comme des requêtes et réponses par le biais de Twitter et Telegram pour localiser le serveur de contrôle et commande.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2048403
Ils se sont inspiré des trucages aux test antipollution non ?
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme