Discussion :

[Michael Guilloux]

DressCode, un malware Android dissimulé dans plus de 400 applications de Google Play
susceptible de voler les données sensibles des entreprises

DressCode fait partie des dernières menaces de l’écosystème Android. Le malware Android a été documenté pour la première fois en août dernier par les chercheurs du cabinet Check Point, mais l’ampleur de la menace a été beaucoup sous-estimée.

D’après les chercheurs de Check Point, le programme malveillant était injecté dans un peu plus de 40 applications disponibles sur le Google Play et 400 autres provenant de boutiques d’applications tierces. Un récent rapport de Trend Micro, quant à lui, estime que le malware DressCode est dissimulé dans plus de 3000 applications hébergées sur des boutiques d’applications Android bien connues, dont plus de 400 sur Google Play uniquement. DressCode se cache à l'intérieur de jeux, de thèmes d'interface utilisateur et d'applications d'optimisation de téléphone. Il faut également noter que, sur Google Play, certaines de ces applications embarquant le code malveillant ont été téléchargées entre 100 000 et 500 000 fois.

D’après les chercheurs de Trend Micro, la menace peut être difficile à découvrir parce que le code malveillant n’est qu’une petite portion du code de l’application dans laquelle il se cache. Une fois installé sur un appareil, le code malveillant de DressCode va établir une connexion avec un serveur de commande et de contrôle et recevoir des instructions de ses développeurs. Le serveur de commande et de contrôle va ordonner au malware de rester inactif jusqu’à ce qu’il détecte une utilisation précise du dispositif. Les deux firmes de sécurité affirment que le malware peut notamment s’infiltrer dans les réseaux d’entreprise auxquels se connecte l’appareil infecté, pour voler des données sensibles. Trend Micro a trouvé des échantillons de DressCode qui ont infecté des utilisateurs d’entreprise aux États-Unis, en France, en Israël et en Ukraine ; une liste qui continue de s’allonger. Il s’agit donc d’une menace pour les entreprises qui permettent à leurs employés d’utiliser leurs propres appareils pour le travail. « Avec la croissance des programmes Bring Your Own Device (BYOD), plus d'entreprises s'exposent à des risques par un employé qui ne fait pas attention à l’utilisation de son appareil mobile », a déclaré la firme de sécurité.

Les attaquants peuvent également enrôler les appareils infectés pour former un botnet, un groupe de dispositifs commandés à distance à l’insu des utilisateurs, qu’ils pourront utiliser à diverses fins : lancer des attaques par déni de service distribuées (DDoS), envoyer des spams, effectuer de faux clics pour générer des revenus publicitaires, etc.

Les applications malveillantes ont été téléchargées sur la boutique de Google depuis le mois d’avril. Après que Google a été informé par Check Point, certaines applications ont été retirées de Google Play, mais la menace est toujours présente puisque Trend Micro a découvert dix fois plus d’applications infectées. Comme mesures de précaution, la firme de sécurité suggère donc, avant tout, de vous assurer, lorsque vous téléchargez une application, que vous le fassiez depuis un app store légitime, sans oublier de lire les commentaires sur l’application.

Comme autres mesures de sécurité, Trend Micro recommande de :

• mettre à jour son système régulièrement pour bénéficier des derniers correctifs qui peuvent assurer une protection contre les dernières vulnérabilités ;
• éviter le rootage qui supprime des restrictions et garanties de sécurité spécifiquement placées par les fabricants pour garder votre appareil protégé. Le système sera plus vulnérable aux logiciels malveillants et autres codes dangereux si le dispositif est rooté ;
• éviter les Wi-Fi non sécurisés et désactiver si possible l'option de connexion automatique aux Wi-Fi ;
• utilisez un réseau privé virtuel (VPN) si vous avez besoin de vous connecter à un Wi-Fi public.

Sources : Trend Micro, Check Point

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Zerodium propose 1,5 million de dollars à quiconque lui rapportera une faille zero-day sur iOS 10 ! La chasse est ouverte
C'est quoi un ransomware ? 1 entreprise sur 3 n'a jamais entendu parler de cette menace, selon une étude réalisée par AVG
11 % des Américains dont les données sont piratées ne font plus jamais confiance aux entreprises qui les gardaient, partagez-vous le même sentiment ?

[Aiekick]

pourquoi ils ne donnent pas la liste des applis concernées ?

[xillibit]

Peut-être parce qu'ils veulent vendre leur antivirus pour android : Trend Micro Mobile Security for Android

[Bigb]

Le BYOD est une hérésie ! On voit ce que ca peut donner, et encore on est loin du compte car un terminal peut devenir un vrai vecteur d'attaque d'un réseau privé.

[Fagus]

si si, ils donnent la liste concernée là :
http://blog.checkpoint.com/2016/08/3...n-google-play/

En fait, j'ose même pas imaginer le nombre de codes malicieux cachés dans tout ce code qui ne sera jamais relu sur mon PC (plugins navigateur... soft open source, freeware et soft payants...). Va savoir ce qui transite dans ces connections ssl que la plupart des programmes ouvrent de temps en temps.

[jumpers]

je me choppe le syndrome du "c'était mieux avant"... des informations vagues, pas totalement justes, avec je ne sais combien de temps de retard. déçu de Developpez.net pour le coup...

vous avez qu'un mois de retard sur l'information, qui a entre-autre été publiée sur Frandroid a la mi-septembre, qui eux avaient déjà du retard sur bien d'autres.

la plupart des paquets infectés sont déjà supprimés du play store depuis un bon moment... a la publication de l'article de frandroid, la plupart des paquets étaient déjà plus accessibles.

quant aux "400 applications du google play", c'est totalement faux, il y en avait (vu la suppression de la plupart...) une quarantaine, le chiffre 400 relate des applications sur des stores tiers, les black markets, qui sont d'office a proscrire, surtout si la source n'est pas fiable.

[tchize_]

si si, ils donnent la liste concernée là :
http://blog.checkpoint.com/2016/08/3...n-google-play/

Ca c'est les 40 de départ de checkpoint, on cherche la liste des 400+ trouvés par trend micro.

[tchize_]

vous avez qu'un mois de retard sur l'information,

...

quant aux "400 applications du google play", c'est totalement faux,

Même si les premières news sur Dress Code sont ancienne, le billet de TrendLabs dont il est ici question date du 29 septembre, pas il y a un mois et il précisent bien, des millier d'applications détectées sur divers store, dont plus de 400 sur google play.