Archives de catégorie : Android

Se protéger de la cyber surveillance

Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.

Chiffrez vos informations

Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).

Vos « surfs »

les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.

Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).

Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !

Hack de badges Mifare Classic avec son smartphone

MIFARE est une technologie de carte à puce sans contact. Badge d’entreprise et autres moyens d’identification sans contact exploitent cette belle technologie installée dans plus 3,5 milliards de cartes dans le monde.

La plupart des smartphones NFC sont équipés d’une puce permettant l’émulation de cette carte. L’application pour Android NFC Mifare Classic Scanner, réalisé par Touf un informaticien chercheur Français, vient d’apparaitre dans sa seconde et nouvelle monture. Parmi les nouveautés de cet outil, la possibilités d’ajouter les clefs obtenues par d’autres moyens (libnfc, mfoc…) ; réalisation de scan très rapides en créant un template de la cible (quels secteurs doivent être lus, avec quelle clef…). Une possibilité offrant comme résultat le scan à la volée avec le téléphone en moins d’une seconde.

Export des résultats par mail au format .mfd (compatible libnfc et carte mifare chinoise) ou encore l’édition, modification de données lues pour réinjectées les données modifiées dans le badge. L’outil permet donc pas mal de manipulations techniques et légales. Il démontre aussi le danger de cette technologie. L’application ne fonctionne que pour les badges Mifare Classic mais permet de prouver la facilité de sauvegarder l’état d’un badge pour ensuite le remettre a zero (paiement à une machine à boisson, photocopieuse…) ; modification pour apparaitre comme un autre utilisateur.

« L’utilisation principale est de comprendre le fonctionnement des différents systèmes exploitant des cartes mifare classic » explique à DataSecurityBreach.fr l’auteur. Avec cette application, vous pouvez scanner le tag de vos badges aprés chaque utilisation et ensuite analyser les modifications. Pour les autres technologies autres que Mifare classic, l’outil ne qu’une identification de la technologie employée et un enregistrement de l’uid. (GooglePlay)

Une nouvelle donne pour les malware Android ?

Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.

Le premier trimestre 2013 a été marqué par des nouveautés du côté des  malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.

Le nombre de familles et variantes de menaces mobiles est en  augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.

« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes », déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».

Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».

Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant «  coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.

Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.

Chiffrer sa vie privée sur le web

DataSecurityBreach.fr vous le conseille très souvent : sur Internet, les informations que nous diffusons douvent être, un maximum, chiffrées, protégées, … des regards instigateurs. Les sources de fuites et de regards sont nombreux, très nombreux (Etats, entreprises, marketing, Google, …). Il est possible de se cacher. Non pas que nous soyons de dangereux terroristes à la solde d’un groupuscule venus de l’espace. Non, nous souhaitons juste avoir la possibilité de protéger ce qui nous appartient, notre vie privée.

Sur la toile, donc, difficile d’être « secret », mais les outils existent pour se protéger. Commençons par les envies de causer, en paix. De plus en plus de personnes exploitent le « tchat » de Facebook. Sauf que ce dernier, en plus de ne pas être parfaitement sécurisé, laisse de nombreuses traces dans les serveurs du géant américain. Un exemple que datasecuritybreach.fr vous propose d’effectuer. Vous avez un smartphone et un pc. Dans les deux cas, vous êtes connectés à Facebook. Votre smartphone a l’application Facebook activée, cela vous permet de recevoir, par exemple, des notifications de messages, de pokes, … Sur votre PC, vous causez, et causez encore ! Vous prenez soin, à chaque fin de « bla bla » d’effacer la conversation. Vous vérifiez, et effectivement, Facebook a détruit le contenu. Sauf que si vous vous rendez dans l’application de votre smartphone, miracle, les messages effacés ne le sont plus. Il vous faudra, donc, effacer de nouveau le contenu. Attention, n’utilisez pas l’application pour informer votre contact… au risque de revoir les messages réapparaitre dans le Facebook de votre ordinateur.

Bref, tchater, ok, mais tchater sécurisé, c’est mieux. Pour les utilisateurs de Firefox/Chrome, l’outil Crypto chat (Crypto Cat) est fait pour vous. L’addon s’installe dans votre navigateur. Il suffira, ensuite, de fournir un identifiant de connexion à vos interlocuteurs. Les conversations seront sécurisées par un chiffrement. Autres possibilités Threat Model ; intra messenger ou encore anonpaste.me. Il existe des possibilités de messagerie instantanée et visio-conférences avec Jitsi et Frama Soft.

 Après le tchat, vous allez avoir envie de communiquer fichiers, textes. Dans les possibilités ZeroBin, One Time Secret, Just Beam It, PrivNote. Pour finir, n’oubliez pas de chiffrer vos courriels. Pour les plus techniciens, le logiciel GPG est indispensable. Il réclame un peu de temps d’apprentissage et que vos correspondants utilisent aussi GPG (ou pgp). Mais son efficacité n’est plus à démontrer. Attention, des solutions gratuites comme PrivacyBox, ne sont plus exploitable pour des raisons internes aux créateurs. Pour le cas, de privacy box, une sombre affaire de possibilité d’espionnage.

A noter qu’il existe aussi des solutions de sécurisation des courriers et fichiers via l’autodestruction comme Privnote ; SebSauvage, One time secret ou encore Just bea mit ou encore AnonBox.tk. Pour le téléphone, zatazweb.tv, présente dans son émission du mois de mai une application qui permet de chiffrer les conversations téléphoniques.

Une sécurisation qui peut être accentuée en utilisant, par exemple, des clés USB chiffrées comme celle proposée par la société Integral (La crypto Dual – AES 256 bit) ou encore la clé USB biométrique de chez BEFS.  En vacances, en déplacement professionnel, ou tout simplement au bureau. Ce support de sauvegarde ne fonctionne qu’ave la présentation d’un doigt préenregistré.

Synchronisation des mots de passe sous Chrome : une bien mauvaise idée…

La saisie automatique des mots de passe dans votre navigateur est une fonction que vous appréciez. En effet, comment retenir aujourd’hui tous les mots de passe dont on a besoin, d’autant qu’on sait désormais qu’il est impératif d’utiliser des mots de passe complexes ? Pourtant, à l’heure où Google vient d’annoncer les nouvelles versions de Chrome (pour Windows et Android), équipées de cette fonction que nous apprécions tous de synchronisation des mots de passe et des données de saisie automatique, il est temps de jeter un pavé dans la mare de nos certitudes : ce système n’est absolument pas sécurisé ! En effet, les mots de passe stockés par le navigateur ne sont pas protégés : on ne vous réclame aucun mot de passe pour vous connecter à Chrome. Ainsi, n’importe qui peut utiliser votre ordinateur et se connecter sans problème à vos différents comptes  et donc à vos données privées.

De plus, l’utilisation de la synchronisation de Google (« Google Sync ») est doublement dangereuse : d’une part, vous laissez Google accéder potentiellement à vos mots de passe, ce qui est risqué lorsqu’on connait sa politique de collecte de données, et d’autre part, un jour ou l’autre Google peut être « hacké », ce qui rend vos mots de passe encore plus vulnérables, puisque les clés de cryptage appartiennent à Google. Il existe une option de sécurité dans Chrome, mais tellement bien cachée que personne ne l’utilise…

Malware android

L’augmentation la plus importante pour les adwares (+34,47%) a été enregistrée entre novembre et décembre 2012, certains développeurs ayant profité des fêtes de fin d’année pour tenter de générer des revenus supplémentaires en misant sur le fait que les nouveaux utilisateurs ignorent le fonctionnement des adwares. Les chevaux de Troie ont connu une augmentation lente mais constante de septembre 2012 à janvier 2013 puis ont légèrement décru en février 2013 (-2,22%).

Les adwares devenant plus intrusifs et programmés plus précisément pour récupérer autant d’informations sensibles que possible, la différence est plus ténue que jamais entre les logiciels légitimes et les applications qui se révèlent en réalité être des malwares. Des adwares virulents portent ainsi de plus en plus préjudice à la vie privée des utilisateurs en recueillant et utilisant des informations personnelles à leur insu.

Bien que les adwares ne soient pas fondamentalement malveillants, data security breach vous montrent souvent qu’ils peuvent recueillir des numéros de téléphone, des coordonnées et des adresses e-mail, qui sont transmis à des tiers ou vendus au plus offrant. Le marché noir valorise énormément ces données qui peuvent être utilisées à des fins marketing pour créer des profils d’utilisateurs.

Puisque la plupart des utilisateurs utilisent leurs appareils personnels à des fins professionnelles, il est logique que l’accès aux fichiers confidentiels et sensibles soit souvent autorisé via ces appareils. Ce n’est donc pas seulement  un problème de risques vis-à-vis de leurs données personnelles, mais cela concerne également les informations critiques des entreprises elles-mêmes. Des politiques de BYOD strictes doivent offrir une protection efficace à la fois contre les malwares et contre les adwares sous Android, puisqu’ils ont tous les deux un impact direct sur la préservation de la confidentialité des données.

La principale famille de chevaux de Troie s’intitule « FakeInst », elle escroque les utilisateurs en leur demandant de payer des applications qui sont normalement gratuites. Si les utilisateurs acceptent, l’application envoie des messages SMS à des numéros surtaxés, faisant ainsi grimper leur facture téléphonique.

Parmi les adwares agressifs, la famille Android.Adware.Plankton est la plus présente puisque les développeurs utilisent le framework intégré à l’appli pour monétiser leur développement. Les adwares peuvent également recueillir des informations personnelles telles que des adresses e-mail et des numéros de téléphone. Plus il y a de frameworks associés à une application, plus celle-ci devient intrusive puisqu’elle diffuse les données à plusieurs tiers.

La tendance à la hausse de ces deux types de détection indique que les pirates sont à la recherche d’argent et de moyens d’en obtenir en vendant les données personnelles des utilisateurs. L’argent est le moteur du développement de ces deux catégories.

Bitdefender annonce un antivirus gratuit pour protéger les appareils Android

Bitdefender, éditeur de solutions de sécurité, annonce Antivirus Free pour Android afin d’inciter les utilisateurs à protéger leur smartphone et tablette contre le nombre croissant de malwares ciblant les appareils Android. Bitdefender Antivirus Free pour Android est une solution antivirus gratuite, rapide et puissante qui utilise les dernières technologies d’analyse in-the-cloud de Bitdefender, garantissant ainsi un impact quasi nul sur la batterie et des mises à jour 24 heures sur 24 contre les dernières menaces. Dès son installation, Bitdefender Antivirus Free pour Android protège les utilisateurs en recherchant immédiatement les activités suspectes.

« L’an dernier, nous avons assisté à une explosion du nombre de malwares Android, il devient donc indispensable que les utilisateurs pensent à protéger leurs appareils Android comme ils le font pour leur ordinateur », déclare à data security Breach Fabrice Le Page, Chef de Produits Bitdefender chez Editions Profil. « Afin d’inciter le plus grand nombre des utilisateurs à se protéger contre ces nouvelles menaces, nous avons souhaité que notre solution soit gratuite mais sans concessions sur la qualité, l’efficacité et la légèreté ».

Le nombre de malwares a augmenté de 27% au cours des six derniers mois, et ce, en raison des efforts redoublés des créateurs de malwares pour dérober les informations personnelles des utilisateurs. Les formes les plus courantes de malwares Android peuvent entre autres rapidement faire grimper la facture téléphonique des utilisateurs en appelant discrètement des numéros surtaxés, dérobant des mots de passe, espionnant les e-mails professionnels et surveillant presque toutes les activités des utilisateurs.

Notre vie privée est de plus en plus affectée par la hausse du nombre d’adwares et de malwares Android Parce que les adwares (logiciels espions publicitaires) recueillent plus de données sur les appareils des utilisateurs que ce dont ils ont réellement besoin et que les développeurs ajoutent souvent plus d’un composant adware (framework adware) au sein de leurs applications, la vie des utilisateurs devient de moins en moins privée  au profit des développeurs et des publicitaires. De plus en plus de tierces parties ont désormais accès à l’historique de navigation des utilisateurs, à leurs numéros de téléphone, à leurs adresses e-mail et à tout ce qui est nécessaire pour créer des profils complets et personnalisés.

C’est d’autant plus inquiétant que les adwares ciblant les appareils Android ont augmenté de 61% au niveau mondial, entre septembre 2012 et janvier 2013 et que les malwares ont progressé dans le même temps de 27%, allant jusqu’à une hausse de 37% pour les chevaux de Troie selon une étude des Laboratoires Bitdefender. L’adoption d’Android a régulièrement progressé au cours des cinq derniers mois, de même que le nombre de détections de malwares et d’adwares. Il n’est ainsi plus rare de dénicher des malwares et des adwares Android aussi bien sur les marchés dits « alternatifs » que sur la plate-forme  officielle Google Play.

Activistes Tibétains piégés par une application pirate

Lookout, leader des solutions de sécurité pour téléphones mobiles et tablettes vient d’informer DataSecurityreach.fr qu’un programme malveillant a été à l’origine d’un harponnage des comptes Email d’activistes tibétains. Le 25 mars dernier, le compte mail d’un activiste tibétain a été piraté et utilisé pour harponner, par la technique dite du spear-phishing, tous les contacts présents dans son carnet d’adresses. Cette attaque cherchait à faire croire aux personnes visées qu’elles avaient reçu un mail contenant des informations relatives à une conférence destinée aux activistes chinois, tibétains, mongols et turciques organisée lors du « Congrès mondial des Ouïghours » (WUC) organisé du 11 au 13 mars 2013.

Le mail contenait une pièce jointe censée être une lettre émanant du WUC, mais il s’agissait en réalité d’un fichier APK pour Android appelé « WC’s Conference.apk » contenant une nouvelle souche de programme malveillant appelée Chuli. Si ce type d’attaque très ciblée contre les appareils mobiles reste marginal, ce n’est pas une première. D’autres souches de programmes nocifs créées spécifiquement pour ces attaques ont déjà été mises au jour par le passé – FinSpy / FinFisher est un exemple conçu pour Android à des fins d’espionnage. L’éditeur Lookout suit de très près cette nouvelle tendance. Le mode d’attaque Les dernières versions d’Android (3.0 et supérieures) empêchent les applications de se lancer automatiquement. Chuli a été conçu pour contourner cette protection : le programme se présente comme un support de conférence, s’appelant même « conférence », une fois qu’il est installé.

Il s’agit d’un subterfuge sophistiqué visant à pousser l’utilisateur à exécuter l’application. Et une fois lancé, pour asseoir sa légitimité, Chuli affiche un message prétendant émaner d’un représentant officiel du Congrès mondial des Ouïghours, concernant la conférence. Mais en fait, l’application récupère l’ensemble des SMS, du carnet d’adresses et l’historique des appels présents sur l’appareil, pour les télécharger sur un serveur C&C distant. Bien que ce serveur soit hébergé aux Etats-Unis, il est en langue chinoise et les noms de domaine qui renvoient vers lui ont été enregistrés le 8 mars 2013 par le déclarant chinois Peng Jia de Pékin, au nom de la société Shanghai Meicheng Technology Information Development Co Ltd. Data Security Breach rappel que si ces informations laissent penser que les pirates sont probablement d’origine chinoise, le gouvernement chinois n’est pas pour autant impliqué.

Une fois que le programme malveillant s’est exécuté, le message qui s’affiche provient d’un fichier texte « assets/m.txt », ce qui laisse penser que ledit message peut facilement être changé pour lancer de nouvelles campagnes ciblées tirant parti d’autres actualités brûlantes. La construction et son mode de fonctionnement Le programme malveillant est basé sur deux services principaux : « PhoneService » et « AlarmService ». Le premier est le service d’activation qui s’exécute lors du lancement de l’application. Pour être sûr de se lancer correctement, il se greffe sur le système d’exploitation Android et définit un paramètre de déclenchement du service lorsque l’un des événements suivants survient :

· l’appareil sort du mode veille

· le niveau de charge évolue

· l’état de connexion de l’appareil change

· l’heure est modifiée

· le papier-peint est modifié

· des applications sont ajoutées

· l’écran s’allume

· la puissance du signal évolue

· un échange de données est amorcé PhoneService effectue trois tâches majeures, la première étant la création d’un identifiant unique pour le téléphone à l’aide de l’horodatage Unix. Ensuite, le service enregistre l’appareil auprès du serveur C&C et, enfin, lance le service AlarmService. Ce service permet au programme malveillant de se livrer à différentes activités d’espionnage. Sitôt activé, il effectue les tâches suivantes que Datasecuritybreach.fr vous énumére :

· Il s’accroche au service de SMS d’Android afin que les messages entrants soient transférés au serveur C&C.

· Il envoie des SMS et communique l’historique des SMS au serveur C&C.

· Il sollicite des informations sur la position géographique toutes les 10 secondes ou tous les 20 mètres, qu’il envoie ensuite au serveur C&C.

· Il accède au carnet d’adresses et communique le modèle de l’appareil, la version d’Android ainsi que tous les contacts enregistrés dans le téléphone et sur la carte SIM au serveur C&C.

· Il lance la fonction « autre » et envoie le journal des appels au serveur C&C.

L’éditeur Lookout a étudié de près le serveur C&C, un serveur Windows sous IIS accompagné d’une page d’accueil créée à la hâte. L’ensemble renforce le sentiment que cette campagne a été lancée en urgence, en prêtant peu d’attention aux petits détails. Détail intéressant, le serveur C&C publie également sous la forme de liens annexes un identifiant unique pour chaque appareil corrompu. Ces liens ouvrent un panneau de configuration relatif à l’appareil concerné, qui présente un ensemble de fonctionnalités que Lookout n’a pas encore observé dans les échantillons de programmes malveillants étudiés, notamment la possibilité d’installer d’autres logiciels à distance et à l’insu de l’utilisateur. Rien ne prouve que cette fonctionnalité ait été utilisée dans cette implémentation, ce qui peut faire penser qu’un autre morceau de code malveillant a été reconditionné pour cette campagne.

Etant donné la nature de l’attaque et les cibles visées, on peut penser qu’elle est l’œuvre d’un Etat ou d’un pays. Or plusieurs éléments semblent indiquer qu’il n’en est rien. Certaines portions sont l’œuvre de développeurs amateurs, l’application ne dispose pas d’une icône et elle porte la mention « test ». Qui plus est, l’exécution du programme se révèle moins élaborée que nombre d’applications malveillantes connues, comme par exemple Geinimi . Autant de preuves réfutant l’idée d’une attaque perpétrée par un Etat ou une grande nation. Il s’agit là d’une nouvelle attaque d’ingénierie sociale ciblée qui exploite des programmes malveillants pour Android, pour prendre le contrôle d’un appareil vulnérable à des fins d’espionnage. Un signe de plus qui vient confirmer la tendance actuelle à l’utilisation de tremplins multiples pour lancer des attaques, en ne se contentant plus de viser seulement des ordinateurs.

Chuli.A vise des cibles bien précises; seul un ensemble particulier d’appareils est concerné. Les risques d’infection sont donc très faibles.  Comment s’en prémunir ? Data Security Breach magazine vous souligne l’importance d’évitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam. Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.  Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement. Téléchargez une application de protection mobile telle que Lookout, qui passe au crible les contenus à la recherche de programmes malveillants éventuels. Lookout Mobile Security pour Android, par exemple,  est disponible en version Gratuite et en version Premium (2,49 € / mois ou 24,99 € / an).

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.