Discussion :

[Idelways]

Mise à jour du 14.09.2010 par Katleen
Android ciblé par un nouveau Trojan-SMS, le malware imite un lecteur média et infiltre le smartphone pour envoyer des messages surtaxés

L'Os mobile de Google est à nouveau la cible d'un menace numérique. Après un premier malware mis en évidence il y a quelques semaines (voir news précédentes), Kaspersky récidive en dévoilant un second logiciel malveillant qui s'attaque à Android.

Les smartphones équipés par ce système sont dorénavant la cible de la propagation d'un Trojan qui se dissimule dans des SMS. Quand un utilisateur désire visionner un certain type de films sur son mobile, il lui est demandé de télécharger (manuellement) un lecteur multimédia. L'application en question (pomplayer.apk) est en fait malicieuse, et réaliserait même des envois de SMS vers des numéros surtaxés (à 6 dollars le message).

Le code contenu dans Trojan-SMS.AndroidOS.FakePlayer.b est similaire à celui de Trojan-SMS.AndroidOS.FakePlayer.a, la première version détectée par les experts de Kaspersky Lab il y a un mois. Où se cache-t-il pour guetter ses proies ? Sur les sites arrivant en première position lorsqu'une requête est lancée sur un moteur de recherche... pour demander des vidéos pornographiques.

Fait marquant, les utilisateurs d'autres smartphones tournant sous des OS mobiles concurrents reçoivent, eux, réellement les images pour adultes qu'ils ont sollicitées. Comme si la phrase choc lancée par Steve Jobs avait jeté une malédiction. Souvenez-vous, lors du débat sur les « censures » d'applications par l'AppStore, il avait déclaré qu'Android était « pour les personnes voulant du porno ».

Il reste toutefois important de noter que si on ne télécharge pas n'importe quoi avec son appareil, aucun risque d'être contaminé. Avis aux amateurs de « smartphone rose ».

Source : Kaspersky Labs

Android : premier « Cheval de Troie » camouflé dans un jeu
Tapesnake traque et envoie le positionnement GPS du smartphone à des tiers

Mise à jour du 23/08/2010 par Idelways


Android est devenu numéro un aux États-Unis ce mois-ci, une position de leader qui se confirme aussi par la multiplication des menaces qui touchent à l'OS de Google.

Symantec vient de signaler l'identification d'un cheval de Troie déguisé en « jeux de serpent » (le fameux « Snake ») pour les smartphones sous Android.

L'application « Tapsnake » est officiellement décrite par ses développeurs comme une nouvelle génération du grand classique du jeu vidéo. Dans cette version, le serpent change de direction lorsque l'utilisateur donne des petits coups sur l'appareil.

Oui mais voilà, le lancement du jeu (qui fonctionne parfaitement) active également l'icône « satellite » sur la barre de menu, autrement dit le jeu met en marche la fonction GPS du smartphone.

Tapsnake traque alors tous les mouvements de l’utilisateur et le Trojan inclue dans le jeu (baptisé « Tapsnake.AndroidOS » par Symantec) envoie les coordonnées GPS du terminal à un serveur distant.

D'autres personnes peuvent donc consulter le positionnement de l'utilisateur à son insu.

Pour ce faire, le pirate-espion doit installer « GPS Spy », une application payante, sur un autre appareil.

Toujours selon Symantec, les informations GPS sont uploadées toutes les 15 minutes à une application hébergée – ironie de l'histoire - sur la plateforme gratuite « App Engine » de... Google.

GPS Spy permet en plus du positionnement de l'appareil victime, d'enregistrer la date et l'heure de l'envoie de la géolocalisation.

Cependant, pour réussir cet exploit, l'attaquant doit avoir un accès physique à l'appareil, et l'activation du positionnement GPS nécessite la saisie d'une adresse email et d'une clé GPS. Ces mêmes informations doivent ensuite être entrées sur le téléphone où GPS Spy est installé.

Ce n'est donc pas une menace importante et l'alerte ne fera probablement pas le buzz du mois, mais il s'agit là d'une bonne démonstration des menaces que peut engendrer l'évolution de l'usage des appareils mobiles sur la préservation de la vie privée.

Et après le premier vrai faux lecteur multimédia sous Android (FakePlayer – lire ci-avant), Tapsnake entrera donc dans l'Histoire informatique comme le premier vrai-faux jeu de l'OS de Google.

Voire comme le premier « Serpent de Troie ».

Source : Symantec



FakePlayer : le premier Trojan-SMS pour Android
Découvert par Kaspersky, il se cache sous la forme de lecteur Media et envoi des SMS surtaxés


Kaspersky Lab vient de confirmer l'identification du premier « cheval de Troie de type SMS » destiné aux mobiles sous Android.

Le malware, baptisé « Trojan-SMS.AndroidOS.FakePlayer.a » aurait déjà infecté bon nombres de Smartphones.
Les cibles se limitent pour le moment à des utilisateurs Russes, précise Lookout, spécialiste de la sécurité pour mobiles dans un billet de blog.

Aucune indication n'affirme la présence de ce Trojan sur l'Android Market, sa distribution se limite pour l'instant à un site web inconnu.

Le Trojan se présente en tant que lecteur multimédia d'un peu plus de 13ko.
A l'installation et comme pour toute application Android, le Trojan requiert une liste de permissions, parmi lesquelles, l'envoi des SMS.

Ensuite, en arrière-plan, FakePlayer envoi des SMS surtaxés de plusieurs dollars chacun, pour le compte de cybercriminels inconnus.

Pour mémoire, d'autres malwares ont déjà potentiellement pu remettre en question la sécurité de l'OS de Google. Mais FakePlayer est le premier Trojan de ce type sous Android.

Ceci dit, pour être exposé, l'utilisateur doit enfreindre deux règles de sécurité.

Tout d'abord il doit activer l'installation des applications dont l'origine n'est pas l'Android Market, fortement déconseillé par Google et les entreprises de sécurité.

Ensuite, il doit accepter l'attribution de permissions non requises par la vocation de l'application, en l'occurrence, l'envoi de SMS pour la lecture multimédia.

Quoi qu'il en soit, il est clair qu'Android devient une cible de choix pour les cybercriminels. Les Trojans de ce type qui visent cette plateforme risquent donc bien de se multiplier dans les jours à venir.


Sources : Kaspersky, Blog de Lookout


Lire aussi :

« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur » Répond Google France, suite à l'étude de SMobile Systems sur l'Android Market

La sécurité d'Android remise en question, au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

Android : nouveau système pour lutter contre le piratage des applications payantes, elles devront se connecter aux serveurs de Google

Les rubriques (actu, forums, tutos) de Développez :

Android
Sécurité
Mobile
Systèmes

Et vous ?

Installez-vous des applications en dehors de l'Android Market ?
Prenez-vous soin de contrôler les permissions requises pour chaque installation ?

[Caly4D]

La solution pour que ce genre de piège grossier disparaisse, serait d'éduquer des le plus jeune age les populations concernées.

De nos jours en france on ne doit pas être loin de 70% de foyer avec internet et ordinateur.

Le net est partout et sera encore plus présent dans le futur (à quand les enseigne publicitaire dans la rue qui changent "toute" seule de pub via une antenne internet), il faut donc éduquer les gens des le plus jeune age.

On a déjà pris énormément de retard avec l'anglais (comparé à nos confrères européens) alors tentons d'innover dans ce domaine, et créons des cours d’informatique fixe pour les enfants.

[FailMan]

C'est comme partout, il suffit de faire attention et de n'obtenir des applis sur des plateformes de confiance pour éviter de se faire avoir.

On a déjà pris énormément de retard avec l'anglais (comparé à nos confrères européens) alors tentons d'innover dans ce domaine, et créons des cours d’informatique fixe pour les enfants.

Oui, des cours de bureautique, de sécurité basique, de la sensibilisation quant aux données privées, etc. etc.

[Galoula]

Personnellement, j'installe des applications en dehors du market.

Je regarde les autorisations, mais ce qui est reelement nul avec android, c'est que ne l'on peut PAS cocher ou décocher les acces !

Exemple : GMAPS : Il demande téléphonie, je doute, que c'est pour appeler directemnt depuis la carte, si l'on clique sur un restaurant, mais j'aurais décocher cette autorisation si je le pouvais : Je prefère relever le numéro, et le composer moi-même, c'est plus secure ...


Donc à quand Android qui nous propose d'accepter ou non certaines autorisations des applications, CA ce serait une vraie protection ...

Comme shazam, qui permet les appels (Pourquoi ??? mais je la veux quand même cette appli)

Vous voyez quoi ?

[kain_tn]

On a déjà pris énormément de retard avec l'anglais (comparé à nos confrères européen) alors tentons d'innover dans ce domaine, et créons des cours d’informatique fixe pour les enfants.

Ouais sauf qu'en terme d'innovation et d'éducation, nos enfants ont des trucs comme Super Hadopi

:/

[FloMo]

La solution pour que se genre de piège grossier disparaisse, serai d'éduquer des le plus jeune age les population concerné.

Il faudrait surtout éduquer les développeurs à ne pas faire d'erreurs aussi grossières en matière d'interface utilisateur.

Il faut penser utilisateur et non ingénieur... et ne pas jeter la pierre aux autres.

Enfin, ce n'est que mon avis.

[henolivier]

Il faudrait surtout éduquer les développeurs à ne pas faire d'erreurs aussi grossières en matière d'interface utilisateur.

Il faut penser utilisateur et non ingénieur... et ne pas jeter la pierre aux autres.

Enfin, ce n'est que mon avis.

Tu veux dire quoi en fait par éduquer les développeurs ?
Car la, on peut estimer que l'application fait exactement ce que le développeur souhaite (ie se faire passer pour un lecteur multimédia mais lancer des SMS a l'insu de son utilisateur en donnant les permissions voulues a son programme et intégrant des portions de code permettant cet envoi).

[MeTaLCaM]

Je pense qu'il a plutot voulu dire "développeur de l'OS" plutot que "développeur du trojan".

Mais on peut pas critiquer un OS d'être trop permissif, et tant mieux.
Par contre effectivement avoir le choix, c'est bien.

[dams78]

La solution pour que ce genre de piège grossier disparaisse, serai d'éduquer des le plus jeune age les populations concernées.

De nos jours en France on ne doit pas être loin de 70% de foyer avec internet et ordinateur.

Le net est partout et sera encore plus présent dans le futur (à quand les enseignes publicitaires dans la rue qui changent "toute" seule de pub via une antenne internet), il faut donc éduquer les gens des le plus jeunes age.

On a déjà pris énormément de retard avec l'anglais (comparé à nos confrères européens) alors tentons d'innover dans ce domaine, et créons des cours d’informatique fixes pour les enfants.

Si on prend l'exemple de la voiture, on doit passer un permis de conduire etc, et pourtant c'est pas pour autant que les gens sont éduqués...

Le truc c'est que nous en tant qu'informaticiens on a fait le choix d'apprendre l'informatique et on continue à lire des trucs et cie, sauf que le public lui il s'en fout. Il veut juste utiliser son pc, Internet... C'est comme toi quand tu veux regarder la télé, tu veux juste que ça marche, tu n'as pas envie de lire des recommandations et cie sur comment bien utiliser sa télé.

Tu veux dire quoi en fait par éduquer les développeurs ?
Car la, on peut estimer que l'application fait exactement ce que le développeur souhaite (ie se faire passer pour un lecteur multimédia mais lancer des SMS à l'insu de son utilisateur en donnant les permissions voulues à son programme et intégrant des portions de code permettant cet envoi).

L'application ne doit pas faire ce que veut le développeur, mais ce que veut le recueil du besoin. On en revient toujours au même problème, l'application ne doit pas pouvoir être utilisée que par un développeur (ingénieur) mais par la fameuse Mme Michoux. Enfin dès l'instant où l'on veut toucher le grand public.

Sinon pour ce qui est d'Android, c'est bien gentil de prévenir des droits d'accès lorsqu'on installe une application, mais honnêtement qui les regarde?

[Galoula]

Pas grand monde, vu que dans tous les cas t'as pas le choix : Tu installes ou pas. Tu ne peux pas lui dire de faire ce que tu veux.

Par exemple, si un gars installe un truc pour SMS, genre les machin qui font "genre j'ai l'iPhone de la mort qui tue avec des bulles", mais que ce même mec, ne veut QUE les lire, il devrait avoir le choix de dire à l'aplication, via les permissions, interdiction d'envoyer ! C'est pas parce qu'une application (légitime ou non) permet de faire un truc, que l'on doit accepter qu'elle le fasse, mon téléphone avec le WAP, j'ai desactivé le WAP, et ça, il y a plus de 10 ans.

Il faut seulement avoir le CHOIX des permissions que l'utilisateur VEUT BIEN accorder à l'application.

Si l'on montre les permissions, et que de toute façon t'as pas le choix, ça ne sert à rien, exemple avec windobe : Il demande toujours si l'on veut demarrer une application fraichement téléchargé, bein t'as pas le choix de dire oui, si tu sais que c'est OK, mais le souci est que quand c'est un virus, tu as tel3ement l'habitude de NE PAS AVOIR LE CHOIX, que tu fais oui quand même par réflexe ...

Donc la "protection" induit en erreur, via des habitudes ...

C'est comme un pare feu ...

J'aurais pas le droit d'avoir un navigateur uniquement pour crowler mon réseau local SANS JAMAIS aller sur le web ? bein si, pourtant, c'est tout ou rien en général, et ça c'est saoulant ...

[FloMo]

Tu veux dire quoi en fait par éduquer les développeurs ?
Car la, on peut estimer que l'application fait exactement ce que le développeur souhaite (ie se faire passer pour un lecteur multimédia mais lancer des SMS a l'insu de son utilisateur en donnant les permissions voulues a son programme et intégrant des portions de code permettant cet envoi).

Je parle des développeurs de l'API côté OS.

Savoir ce qui est possible techniquement, c'est bien.
Penser à comment ça va être utilisé, c'est mieux.

Il vaut mieux lâcher la bride progressivement plutôt que de laisser tout ouvert puis réfléchir après.

[Caly4D]

Si on prend l'exemple de la voiture, on doit passer un permis de conduire etc, et pourtant c'est pas pour autant que les gens sont éduqués...

Le code de la route depuis peu les gosses commencent à l'apprendre à l'école, et c'est plutôt une bonne chose. Là tu parles du permis de conduire, ça n'a rien à voir pour la simple et bonne raison que le code c'est du par-coeur, tu fais des séances (3-4) tous les jours pendant un mois tu passes ton code les doigts dans le nez.
L'éducation se fait dans la durée et faut prendre du temps et répéter 1k fois les mêmes choses de manières différentes, pour reprendre l'exemple du permis, l'on devrait dès la maternelle commencer à avoir des cours de sécurité routière, par exemple le fait de traverser au petit bonhome vert des feu, stop en les faisant "jouer" de façon ludique sur des parcours pour tricycle et y'a beaucoup de possibilité pour transformer les règles strictes froides et dures du code de la route en règle de jeux que les enfants respecteront en s’amusant et en jouant.

C'est comme toi quand tu veux regarder la télé, tu veux juste que ça marche, tu n'as pas envie de lire des recommandations et cie sur comment bien utiliser sa télé.

j'ai pas la télé , mais il faudrait certainement mieux faire comprendre aux gens que la regarder le nez à 10cm c'est mauvais et surtout qu'ils doivent réfléchir aux émissions qu'ils regardent

L'application ne doit pas faire ce que veut le développeur, mais ce que veut le recueil du besoin. On en revient toujours au même problème, l'application ne doit pas pouvoir être utilisé que par un développeur (ingénieur) mais par la fameuse Mme Michoux. Enfin dès l'instant où l'on veut toucher le grand public.

Je vais utiliser ton exemple en contre exemple : pour avoir le droit de conduire il faut passer un permis de conduire dans lequel tu dois savoir ou se situe la jauge d'huile, le liquide de frein, vérifier l'état des pneus, à quoi corresponde les voyant du tableau de bord etc…
Et ça même mme Michoux est censé le savoir pourtant à proprement parler pour conduire t'en as pas besoin du moment que tu connais les 3 pédales et le levier de vitesse.

je dis pas de faire un permis d'informatique, mais des connaissances minimums sont nécessaires pour pas faire nimp et en info 90% des gens ne les ont pas

[FloMo]

Mais on peut pas critiquer un OS d'être trop permissif, et tant mieux.
Par contre effectivement avoir le choix, c'est bien.

Personnellement, j'adorerais pouvoir personnaliser mon iOS pour l'adapter à certains cadres d'utilisation précis, surtout niveau pro avec l'iPad. Mais dans un cadre très restrictif, avec un OS limité à quelques machines.

Quand un OS est générique et qu'une application est destinée à être déployée en masse, mieux vaut jouer la carte de la prudence.

On l'a vu avec les iPhone jailbreakés qui ont déjà 4 virus à leur actif.

[FloMo]

Sinon pour ce qui est d'Android, c'est bien gentil de prévenir des droits d'accès lorsqu'on installe une application, mais honnêtement qui les regarde?

Google a calqué Windows avec ces messages verbeux et techniques.
Mauvais choix en terme d'expérience utilisateur.

[Caly4D]

On l'a vu avec les iPhone jailbreakés qui ont déjà 4 virus à leur actif.

faudrait pas tenter des gens à partir en troll windobe /mac…

Parce qu'on pourrait dire "on l'a vu avec les iphone non jailbreakés qui ont déjà 4 virus à leur actif"

j'ai mis 4 pour mettre un chiffre identique au tiens mais je ne connais que 2 failles sur ios, les pdf et l'autre appli qui a été supprimé y'a pas longtemps, à mon avis y'en a surement des autres.


Donc système verrouillé ou libre de toute manière les virus pullulent en fonction du nombre d'utilisateurs, le reste c'est que du flan et du discours de fan/hate boys..

[FailMan]

Donc système verrouillé ou libre de toute manière les virus pullulent en fonction du nombre d'utilisateurs, le reste c'est que du flan et du discours de fan/hate boys..

Exactement.

Les pirates sont là pour se faire des sous, partout où il y a des utilisateurs, il y a des sous. Quel intérêt de pirater l'OS du 3310, plus personne ne s'en sert. Il vaut mieux cibler là où il y a du monde, donc des pigeons potentiels.

[dams78]

je dis pas de faire un permis d'informatique, mais des connaissances minimums sont nécessaire pour pas faire nimp et en info 90% des gens ne les ont pas

Ok pour apprendre les bonnes manières : ne pas ouvrir de pièces jointes, ne pas mettre de photos de toi bourré sur la toile, etc... C'est d'ailleurs un peu le cas, il me semble.
Mais disons que ce que je veux dire, c'est qu'il faut d'abord aller à la source et faire comprendre aux développeurs (j'en fais partie, et je l'ai justement compris il y a peu en parlant pas mal avec la MOA, les bons pas les branques...) qu'une application va être utilisée par une certaine catégorie de personnes, et donc l'application doit s'adapter à eux et non le contraire...

[FailMan]

Ok pour apprendre les bonnes manières : ne pas ouvrir de pièces jointes, ne pas mettre de photos de toi bourré sur la toile, etc... C'est d'ailleurs un peu le cas, il me semble.

Ben en fait avec l'explosion des réseaux sociaux, les jeunes maintenant ne font plus tellement attention... Quand je vois certains et certaines de mes amies sur facebook, les groupes qu'ils rejoignent, les photos qu'ils mettent d'eux (publiques en plus ), je me dis qu'il serait pas superflu de faire quelques cours et de dispenser des conseils aux jeunes collégiens dès la 6ième et ce pendant la durée du collège, une heure par semaine. Ca fait en même temps une heure un peu plus "cool" que des maths ou des sciences et ça leur sera utile. Qui n'a jamais utilisé de traitement de texte où qui n'a jamais envoyé de mail dans la nouvelle génération ? Même dans le BTS dans lequel j'étais pendant ces 2 dernières années, je suis tombé sur des gens ne connaissant pas Gmail, tapant au clavier d'une seule main touche par touche, et étant incapable de compresser un fichier au format zip pour le mettre sur une clef USB (si si, en informatique de gestion ça existe).

Quand on sait que l'informatique est devenue incontournable, il est important que les jeunes aient des bases au niveau logiciel mais également des bases de sécurité par la suite. (merci de pas troller en disant et on va leur apprendre sur du logiciel propriétaire c'est pas la question j'en vois venir certains comme d'habitude)

[Caly4D]

Je suis d'accord, une appli doit savoir adaptée au public visé mais les techno sont de plus en plus complexes et demandent inévitablement de plus en plus de connaissance à l'utilisateur pour pouvoir s'en servir sans risque.

avant pour laver le linge un enfant de 5 ans pouvait le faire : une bassine du savon une brosse; puis se fut 7 ans car le savon fut remplacé par un produit qui est dangereux pour les yeux, maintenant pour une machine à laver il faut être encore plus grand ne serait-ce que pour pouvoir toucher les boutons et choisir le bon programme. (omg l'analogie foireuse )

[dams78]

Je suis d'accord, une appli doit savoir adaptée au public visé mais les techno sont de plus en plus complexes et demandent inévitablement de plus en plus de connaissance à l'utilisateur pour pouvoir s'en servir sans risque.

Avant pour laver le linge un enfant de 5 ans pouvait le faire : une bassine du savon une brosse; puis se fut 7 ans car le savon fut remplacé par un produit qui est dangereux pour les yeux, maintenant pour une machine à laver il faut être encore plus grand ne serait-ce que pour pouvoir toucher les boutons et choisir le bon programme. (omg l'analogie foireuse )

Je dirais bien que maintenant il faut attendre de se marier, mais j'ose pas .

--
Justement les techno sont de plus en plus complexes mais pourtant de plus en plus utilisées, à partir de là il faut laisser faire ceux qui s'y connaissent pour cadrer le truc : donc pour moi le premier levier il se passe au niveau des développeurs et équipe projet.
D'ailleurs au niveau de la sécurité informatique, c'est ce qui se passe : on laisse faire ceux qui s'y connaissent, et on utilise les trucs qui ont fait leur preuve.