L'éditeur d'antivirus Symantec signale l'existence d' Android.opfake, un malware qui a la particularité d'être doué de polymorphisme côté serveur. Chaque fois qu'il est téléchargé, il se modifie légèrement pour réduire ses chances d'être détecté par les antivirus faisant classiquement référence à des bases de signatures.
Symantec note que la version source d'Opfake présente sur des serveurs russes est également modifiée régulièrement par ses auteurs pour maintenir sa variabilité. Cette technique, déjà vue pour des logiciels malveillants sur environnement Windows, n'était jusqu'à présent pas spécialement observée pour des malwares mobiles.
Muter pour limiter le repérage
Pour assurer son polymorphisme, Opfake utilise trois techniques : modification de données internes, réarrangement de fichier et insertion de fichiers leurres. Dans certains cas, certains fichiers, contenant une base de données d'opérateurs et des messages SMS associés à des numéros surtaxés, sont modifiés à chaque téléchargement ( modification du texte des SMS par exemple ), conduisant à une variabilité des valeurs CRC du package.
Dans d'autres cas, la modification du code et le réarrangement de certains fichiers produisent un conteneur APK légèrement distinct. Enfin, des fichiers leurres .temp peuvent être associés au package, en nombre variable, et codent une image dont la signification semble être une private joke.
Que peut faire Opfake sur un smartphone Android ? Le malware est capable d'envoyer des SMS surtaxés et peut ouvrir des pages Web spécifiques hébergeant le package. Si son origine semble être russe, le malware est capable d'envoyer des SMS depuis de nombreux pays, dont la France.
Symantec indique que sa solution de sécurité Norton Mobile Security est en mesure de contrer les variantes d'Opfake malgré son polymorphisme et bloque les sites hébergeant le package. L'éditeur recommande également de bien surveiller les permissions lors de l'installation d'une application, notamment si elle demande l'accès à la fonction d'envoi de SMS.
Publié le
par Christian D.
Source :
Symantec
Journaliste GNT spécialisé en mobilité / Ante-Geek des profondeurs du Web et d'ailleurs
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.