Un nouveau malware sous Android fait ses emplettes aux frais de l’utilisateur

Montrouge, 31 juillet 2012

La multiplication des codes malveillants sous Android dont le but est de voler de l’argent aux utilisateurs est la principale tendance sur le monde du mobile. Jusqu’à maintenant, cela était mis en œuvre sous la forme de SMS ou d’appels surtaxés. Mais depuis quelques jours avec le code malveillant MMarketPay.A, un nouveau type de système à fait son apparition, pour l’instant sur des sites principalement Chinois. Ce code nuisible peut effectuer des achats automatiques d’applications.

Les auteurs déguisent ce cheval de Troie dans des versions piratées d‘applications populaires légitimes, telles que Go Weather, Travel Sky ou EStrongs File Explorer. Ces applications sont disponibles sur plusieurs sites chinois et certains marchés d’applications. MMarketPay.A cible actuellement les clients du plus grand opérateur de téléphonie mobile au monde : China Mobile.

Mode opératoire
Après installation du cheval de Troie sur le périphérique via les applications corrompues, le point d'accès (APN) de l'appareil est changé pour CMWAP. Ceci permet à l‘application malveillante d‘utiliser le Mobile Market de China Mobile sans authentification. Le cheval de Troie peut alors réaliser des achats automatiques sur cette place de marché, pour tout type d’applications, qu’elles soient légitimes ou infectées. Tout est réalisé à l’insu de l’utilisateur : lorsque le smartphone reçoit un SMS de vérification, il est caché de la vue de l‘utilisateur et envoyé directement à un serveur distant qui réagit en conséquence. L'application peut alors être achetée, téléchargée et installée. Le type d‘applications achetées dépend des commandes contenues dans le cheval de Troie.

Attaque isolée ou nouvelle tendance ?
MMarketPay.A est - à l'heure où cet article est publié - uniquement disponible sur les sites Internet et places de marché chinois, mais il met en lumière de nouveaux risques à venir. De nombreuses entreprises européennes et américaines qui vendent sur les app stores ont simplifié les procédures de connexion. Cela pourrait permettre à de tels codes malveillants de détourner ces processus pour commander des applications sans l'autorisation appropriée.

Contre-mesure
- Utilisez un logiciel de sécurité complet tel que G Data MobileSecurity pour Android.
- Installer seulement des applications provenant de sources dignes de confiance.
- Sur les places de marché, consulter les commentaires laissés par les utilisateurs.
- Porter une attention particulière aux autorisations demandées par l’application lors de son installation.