IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Tordow : un malware Android capable de tout dérober de l'appareil de ses victimes


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 701
    Points : 51 791
    Points
    51 791
    Par défaut Tordow : un malware Android capable de tout dérober de l'appareil de ses victimes
    Tordow : un malware Android capable de tout dérober de l'appareil de ses victimes
    En s'attribuant les privilèges root

    Android est le système d’exploitation mobile le plus populaire avec plus d’un milliard d’utilisateurs. Pour cette raison, il constitue la cible privilégiée des cybercriminels qui recourent à divers techniques et moyens pour mettre à mal la sécurité des utilisateurs. Tout au long de son évolution, l’OS de Google a dû faire face à des crises de sécurité causées en premier lieu par une multitude de failles et de vulnérabilités présentes dans le système. Cette situation a été encore rendue pire avec la fragmentation d’Android et la non-disponibilité de mises à jour de sécurité régulières pour la plupart des utilisateurs laissant des millions d'utilisateurs exposés aux attaques.

    Beaucoup des malwares Android que nous avons rencontrés dans le passé cherchent à acquérir les droits d'administrateur sur le terminal infecté, le but bien évidemment est de rendre difficile sa suppression par l’antivirus ou l’utilisateur. Mais l’usage des privilèges root n’est pas typique aux malwares qui cherchent à récupérer les données bancaires des victimes, puisque les cybercriminels peuvent recourir à plusieurs méthodes afin d’extorquer l’argent à leurs victimes sans requérir forcément l’accès aux droits d'administrateur. Cependant, au début de février dernier, Kaspersky Lab a découvert un malware au nom de Trojan-Banker.AndroidOS.Tordow.a, pour qui les privilèges root sont primordiaux. Les chercheurs de sécurité ont observé de très près le développement de ce programme malicieux et ont pu conclure que les capacités de Tordow dépassent de très loin ce que peuvent faire les autres malwares de banking, les attaquants se sont appuyés sur ce programme afin de mener de nouveaux types d’attaques.

    Nom : banker_tordow_eng_1.png
Affichages : 2359
Taille : 4,2 Ko
    Le code ajouté à l'application légitime

    La façon avec laquelle Tordow s’infiltre dans les terminaux des victimes est classique, il passe par l’installation d’applications populaires comme VKontakte, DrugVokrug, Pokemon Go, Telegram, ou Subway Surf. Bien évidemment, ces applications ne sont pas originales, mais plutôt des copies qui sont distribuées en dehors du Google Play store. Les cybercriminels les ont créées en téléchargeant des applications légitimes, puis les ont désassemblées afin d’ajouter le nouveau code et les nouveaux fichiers. « N’importe quelle personne avec des connaissances basiques sur le développement Android peut le faire. Le résultat est une nouvelle application qui est similaire à l’originale, qui effectue toutes les fonctions légitimes indiquées, mais qui contient la fonctionnalité malicieuse dont les attaquants ont besoin. » Explique Anton Kivva.

    La méthode avec laquelle le malware opère est simple, le code intégré dans l’application légitime sert à décrypter le fichier ajouté par les cybercriminels dans les ressources de l’application et le lance. Une fois lancé, le fichier fait appel au serveur de l’attaquant afin de télécharger la partie principale de Tordow, qui contient les liens nécessaires pour télécharger plusieurs fichiers additionnels ; une faille pour acquérir les privilèges root, de nouvelles versions du malware et ainsi de suite. Le nombre de liens varie selon les intentions des criminels ; d’ailleurs, chaque fichier téléchargé peut aussi télécharger du serveur, décrypter et exécuter de nouveaux composants. En conséquence, le terminal infecté est chargé de plusieurs modules malicieux ; leur nombre et leur fonctionnalité dépendent aussi des intentions des pirates. Dans tous les cas, les attaquants acquièrent la possibilité de contrôler l’appareil de la victime à distance.

    Grâce à leur exploit, les cybercriminels peuvent recourir un lot de fonctions afin d’extorquer l’argent aux utilisateurs, en appliquant des méthodes qui sont déjà devenues des moyens classiques pour les malwares de vol des données bancaires et les ransomwares. Parmi les fonctionnalités ce malware, on peut citer :

    • L’envoi, le vol, et la suppression de messages SMS
    • L’enregistrement, le détournement et le blocage des appels
    • La vérification de la balance
    • Le vol des contacts
    • Le lancement d’appels
    • Le changement du C&C (Command and control)
    • Le téléchargement et l’exécution de fichiers
    • L’installation et la suppression d’applications
    • Le blocage de l’appareil et l’affichage d’une page web spécifiée par le serveur malicieux
    • La génération et l’envoi d’une liste de fichiers contenus dans l’appareil ; l’envoi et le renommage des fichiers
    • Le redémarrage du téléphone


    Les droits d’administrateur (Supersuser)

    En plus du téléchargement des modules appartenant au trojan, Tordow télécharge également un pack populaire se servant d’une faille afin de s’attribuer les privilèges root, ce qui permet au malware de nouvelles possibilités d’attaque et des capacités uniques.

    En premier lieu, le trojan installe l’un des modules téléchargés dans le dossier du système, ce qui rend difficile sa suppression. Deuxièment, en utilisant les droits de superuser, les attaquants volent la base de données du navigateur par défaut d’Android et Google Chrome s’il est installé. Ces bases de données contiennent tous les identifiants et mots de passe enregistrés par l’utilisateur dans le navigateur, l’historique de navigation, les cookies et parfois les détails des cartes bancaires.

    Nom : banker_tordow_eng_3.png
Affichages : 2107
Taille : 20,2 Ko
    L'identifiant et le mot de passe d'un site spécifique tirés de la base de données du navigateur

    En conséquence, les attaquants ont accès à différents comptes de la victime sur différents sites. Enfin, les privilèges root permettent aux cybercriminels de voler quasiment n’importe quel fichier dans le système, des photos et documents aux fichiers contenant les données de comptes mobiles de l’application.

    Afin d’éviter d’être touché par ces attaques, les chercheurs de sécurité recommandent de ne pas installer les applications dont les sources ne sont pas officielles et utiliser des solutions de protection des terminaux Android.


    Source : Securelist

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé Avatar de Pilru
    Homme Profil pro
    Dev ASP.NET/jQuery ; Admin ORACLE
    Inscrit en
    septembre 2007
    Messages
    491
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Dev ASP.NET/jQuery ; Admin ORACLE

    Informations forums :
    Inscription : septembre 2007
    Messages : 491
    Points : 841
    Points
    841
    Par défaut
    D'abord :
    Tout au long de son évolution, l’OS de Google a dû faire face à des crises de sécurité causées en premier lieu par une multitude de failles et de vulnérabilités présentes dans le système. Cette situation a été encore rendue pire avec la fragmentation d’Android et la non-disponibilité de mises à jour de sécurité régulières pour la plupart des utilisateurs laissant des millions d'utilisateurs exposés aux attaques.
    Puis, plus loin :
    La façon avec laquelle Tordow s’infiltre dans les terminaux des victimes est classique, il passe par l’installation d’applications populaires comme VKontakte, DrugVokrug, Pokemon Go, Telegram, ou Subway Surf. Bien évidemment, ces applications ne sont pas originales, mais plutôt des copies qui sont distribuées en dehors du Google Play store.
    Android a sans aucun doute des failles et des vulnérabilités. Mais là, en l'occurrence, c'est l'utilisateur qui installe de la merde sur son smartphone ou sa tablette ! Utilisateur qui aura dû donc au préalable cocher, dans les paramètres, la petite case "Autoriser l'installation d'applications provenant d'autres sources que Google Play Store".

    La principale faille en informatique, c'est l'utilisateur. Et on a pas encore trouvé de patch...

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    41
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 41
    Points : 38
    Points
    38
    Par défaut
    Qu'est ce qui garantit que cela ne touche pas non plus les applications du play store?

Discussions similaires

  1. Réponses: 5
    Dernier message: 21/07/2015, 12h05
  2. Android, source de toutes les convoitises pirates, selon F-Secure
    Par Hinault Romaric dans le forum Android
    Réponses: 8
    Dernier message: 06/12/2013, 12h44
  3. « Obad.a » : le malware Android le plus perfectionné à ce jour
    Par Hinault Romaric dans le forum Android
    Réponses: 7
    Dernier message: 12/09/2013, 10h41
  4. Le malware Android NotCompatible aurait refait surface
    Par Hinault Romaric dans le forum Android
    Réponses: 4
    Dernier message: 19/03/2013, 13h19
  5. Le nombre de malwares Android augmente de 400% au second trimestre
    Par Hinault Romaric dans le forum Android
    Réponses: 20
    Dernier message: 16/07/2012, 16h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo