Archives par mot-clé : android

Addiction : Facebook a testé une application secrète

Facebook a testé, en secret, une application Android dédiée à l’addiction de ses utilisateurs au réseau social.

Facebook a mené des tests secrets pour déterminer l’ampleur de la dépendance de ses utilisateurs sous Android. Comme des mannequins dédiés aux crashs tests automobiles, les utilisateurs de l’application Facebook pour Android étaient sous la surveillance du géant américain sans avoir été informés des tests.

Des « analyses » menées de manière à ce que Facebook fût capable de déterminer le niveau d’addiction de l’utilisateur de la dite application. Facebook voulait savoir si l’internaute venait via un navigateur, via Google Play. Bref, du marketing au parfum « Big brother ». Avec un milliard d’utilisateurs Android, il y a une forte motivation pour Facebook de tester ce genre de chose. La société de Mark Zuckerberg aurait aussi testé cette méthode pour sa propre boutique (app store).

Mp3 et Mp4 dangereux pour Android

Deux nouvelles failles découvertes dans Android pourraient malmener téléphones et tablettes via la lecture de Mp3 et Mp4 modifiés.

La société Zimperium mobile Threat Protection avait découvert, en avril 2015, un problème de sécurité dans la bibliothèque Stagefright sous Android. Joshua J. Drake, responsable des recherches a poursuivi son étude sur le traitement des médias par Android. Son enquête sur les attaques à distance l’a conduit à une nouvelle découverte.

Stagefright 2.0 est un ensemble de deux vulnérabilités qui se manifestent lors du traitement de fichiers MP3, ou de fichier vidéo MP4. La première vulnérabilité impacte presque chaque appareil Android depuis la version 1.0 sortie en 2008. Des méthodes pour déclencher la 1ére vulnérabilité avaient été découvertes pour Android version 5.0 en exploitant la seconde faille.

Google a notifié la faille CVE-2015-6602 et a indiqué qu’elle serait corrigée la semaine prochaine. « Nous prévoyons de partager des informations pour cette deuxième vulnérabilité dès que possible » souligne Zimperium.

La faille touche le traitement des fichiers MP3 et/ou MP4 spécialement conçus par un pirate, pouvant entraîner l’exécution d’un code arbitraire, comme le téléchargement d’un logiciel espion…

80% des infections malveillantes visent Windows

Selon un rapport d’Alcatel Lucent, le premier système d’exploitation visé par les logiciels malveillants serait Windows.

Le rapport d’Alcatel Lucent indique que depuis le début du deuxième trimestre de 2015, les smartphones sous Windows et les PC sous Windows étaient responsables de plus de 80% des infections par des logiciels malveillants. Dans cet intervalle, le nombre de logiciels malveillants visant Android a continué de croître considérablement, mais ce taux d’infection a été considérablement réduit (20%) depuis le début du premier trimestre 2015. L’iPhone et le Blackberry représentaient moins de 1% des infections totales. La baisse des potentialités pirates pour Android serait due à l’effort de Google pour protéger son OS et les applications diffusées par sa boutique officielle, le Google Play Store. [Le rapport]

Malwares : les préjudices financiers augmentent

Une étude réalisée par Kaspersky Lab et B2B International révèle que près de la moitié des internautes (45 %) ont été confrontés à des logiciels malveillants l’an passé et que, dans la plupart des cas (81 %), cela a eu des conséquences particulièrement négatives pour ces utilisateurs et leurs équipements.

Le malware le plus fréquent touche principalement les ordinateurs Windows. 83 % des utilisateurs déclarent en avoir été victimes au cours des 12 derniers mois sur ordinateurs Windows ; 13 % sous Android  et 6 % sous Mac OS X font état d’infections sur leurs équipements. Des chiffres tirés des personnes interrogées. Ils peuvent donc changer selon les régions, les interviewés, …

Quels sont les différents types d’infections ?

12 % des personnes interrogées pensent avoir été contaminées après une visite sur un site Web suspect ; tandis que 8 % évoquent l’utilisation d’une clé USB (ou d’un autre périphérique ne leur appartenant pas) ou encore l’installation d’une application malveillante se faisant passer pour un programme légitime ; 7 % d’entre elles estiment qu’elles ont été infectées après l’ouverture d’une pièce jointe ; les plus nombreuses (13 %) n’étaient cependant pas en mesure d’expliquer comment le malware s’était retrouvé sur leur machine.

4 infections sur 5 sont à l’origine de problèmes informatiques pénalisants pour leurs victimes. Dans 35 % des cas, les utilisateurs ont constaté un ralentissement de leur ordinateur, 30 % de la publicité agressive (leur navigateur étant par exemple redirigé vers des sites Web indésirables) et 20 % la présence de programmes non sollicités sur leur machine.

Parmi les effets les plus néfastes d’une infection figurent des modifications des paramètres du navigateur ou du système d’exploitation à l’insu de l’utilisateur (17 %), la perte (10 %) ou le vol (8 %) de données personnelles, des publications ou commentaires non autorisés sur les réseaux sociaux (9 %) et le piratage de leur webcam (6 %).

Les préjudices financiers au cœur des attaques de malwares

  • 11 % des participants à l’enquête ont déclaré avoir eu à verser une rançon à des cybercriminels pour débloquer un appareil ou décrypter des fichiers personnels
  • et 6 % après une infection par un ransomware.
  • Globalement, un tiers (33 %) d’entre eux ont subi un préjudice financier à cause d’un malware.

En plus d’avoir à verser une rançon, les victimes ont dû effectuer des dépenses pour la restauration d’un équipement ou de données, pour l’achat d’un logiciel de nettoyage, voire pour remplacer leur matériel. En cas de perte financière, le coût moyen d’une attaque s’élève à 160 dollars.

« Les coûts et les effets néfastes d’une infection par malware peuvent être évités avec un peu de prudence. Par exemple, ne pas insérer de clé USB non vérifiée, n’utiliser que les boutiques d’applications officielles, installer les mises à jour du système d’exploitation et des applications, analyser les fichiers avec une solution de sécurité avant de les ouvrir. La capacité de prévoir les problèmes potentiels et de prendre des précautions est la clé de la sécurité », explique à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

21 modèles de smartphones vendus en ligne infectés par un malware

G DATA a détecté 21 modèles de smartphones vendus en ligne infectés. L’éditeur de solutions de sécurité publie son Mobile Malware Report du second trimestre 2015.

Les appareils mobiles renferment une quantité importante de données personnelles. Un tel contenu attise l’appétit de sociétés mal intentionnées et des cybercriminels. En plus de l’augmentation des programmes malveillants (+25 % par rapport au premier trimestre 2015), le G DATA Mobile Malware Report met en lumière une nouvelle tendance : plusieurs appareils Android vendus en ligne sont équipés de logiciels malveillants. 21 modèles ont été découverts par G DATA depuis le début de l’année 2015.

« On estime à 2,5 milliards le nombre d’individus dans le monde connectés grâce à leur appareil mobile. Grâce aux smartphones et aux tablettes, il est possible de chatter, naviguer sur internet ou faire des achats à n’importe quel moment et partout. Parallèlement, le nombre d’applications malveillantes a explosé depuis les trois dernières années », explique Christian Geschkat, responsable des solutions mobiles chez G DATA. « Nous observons depuis l’année dernière une nette augmentation d’appareils qui sont livrés directement avec des programmes malveillants et d’espionnage. »

Smartphone infecté en vente libre

Depuis le début de l’année 2015, les experts G DATA ont détecté et analysé 21 modèles de téléphones vendus sur des sites d’e-commerce et d’enchères internationaux, dont les firmwares intégraient des logiciels malveillants. Des modèles tels que le MI3 de Xiaomi, le G510 de Huawei ou le S860 de Lenovo sont concernés. La liste complète des 21 appareils infectés est disponible dans le G DATA Mobile Malware Report du 2e trimestre 2015. Les investigations menées montrent que ces appareils ont été modifiés par un maillon de la chaîne de distribution : certains intermédiaires, en plus de leur marge sur la revente de l’appareil, tablent sur des revenus complémentaires par la commercialisation de données personnelles et la publicité ciblée. Cette situation implique que les modèles incriminés vendus en ligne ne sont pas tous infectés.

À l’usage, ces appareils infectés peuvent être totalement contrôlés par un tiers. L’affichage de publicités et le téléchargement automatiquement d’applications non désirées est la partie émergée de l’iceberg. Envoi de SMS surtaxés ou prise en distance de la caméra sont d’autres actions possibles.

Pour vérifier si son appareil Android est infecté, l’utilisateur peut l’analyser avec la version gratuite G DATA INTERNET SECURITY FOR ANDROID light disponible sur le Google PlayStore.

Plus d’un million de nouveaux programmes malveillants sur Android depuis 6 mois
Au deuxième trimestre 2015, 6100 nouveaux programmes malveillants ciblant Android étaient détectés chaque jour. Il y en avait 4900 au premier trimestre 2015, ce qui représente une augmentation de 25%.

 

0day pour Dolphin et Mercury sous Android

Un chercheur en sécurité informatique conseille aux utilisateurs des navigateurs Dolphin et Mercury de passer sous un butineur web. Des failles 0Day découvertes.

Un chercheur connu sous le pseudonyme de Rot logix a annoncé la découverte de plusieurs 0day, failles non publiques, visant les navigateurs web Dolphin et Mercury. Des navigateurs pour Android. Rotlogix indique qu’il est fortement conseillé de basculer vers d’autres applications en attendant les corrections. Selon Google Play, plus de 50 millions d’internautes utilisent Dolphin Browser ; entre 500 000 et 1 million d’installations pour Mercury.

Les attaques pourraient être profitables à un malveillant, via un Mitm, l’attaque dite de l’homme du milieu. En gros, il y a vous, le pirate et l’espace numérique que vous souhaitez visiter. Le pirate pouvant ainsi intervenir sur les données passant par votre connexion.

La faille est liée à une fonction qui permet aux utilisateurs de télécharger et d’appliquer des thèmes pour les navigateurs web. Les thèmes sont téléchargés en HTTP. Un pirate pourrait en profiter pour injecter son code malveillant. En Mars 2015, des chercheurs de chez Versprite avaient mis à jour des failles dans la version 3.0 de Mercury.

Avast découvre un nouveau malware sur Google Play made in Turquie

Une nouvelle version de Porn Clicker vient d’apparaitre sur Google Play. Des pirates Turcs seraient derriére cette nouvelle version.

En avril 2015, l’éditeur de solutions de sécurité informatique Avast découvrait un code malveillant baptisé « porn clicker ». Un malware caché dans un logiciel propose sur Google Play. D’après l’éditeur, il a pu être téléchargé entre 100 000 et 500 000. Le code malveillant se faisait passer pour l’application populaire Dubsmash.

Une fois l’application installée, aucun indice particulier ne permettait à l’utilisateur d’identifier sur son appareil une application intitulée “Dubsmash 2” : en effet, l’application générait à la place une icône qui se présentait sous le nom de “Réglages IS”. Lorsque l’utilisateur ouvre cette application, le Google Play Store active la page de téléchargement de l’actuel “Dubsmash”. Par la même occasion, une liste de liens redirigeant vers divers sites pornographiques est téléchargée, conduisant au lancement d’un des liens de cette liste dans le navigateur. Après une dizaine de secondes, le code procède au clic d’autres liens au sein même du site pornographique.

« Nous serons de retour… »

Quatre mois plus tard, il a identifié une mutation de ce malware. intercepteur de données qui semble avoir été créé par la même équipe turque qui était à l’origine de ce logiciel malveillant. Google a une nouvelle fois réagi rapidement et l’a retirée du Play Store.

Une fois téléchargées, les applications ne présentent aucune activité importante lorsque l’utilisateur procède à l’ouverture de celles-ci, et affichent seulement une image fixe. Toutefois, lorsque l’utilisateur, qui ne se doute de rien, ouvre son navigateur ou d’autres applications, l’application malveillante parcourant l’arrière-plan du système renvoie directement vers des sites pornographiques. Les victimes ne comprennent pas forcément d’où proviennent ces redirections, car il n’est possible d’arrêter ce processus qu’en supprimant l’application.

Les chercheurs en sécurité de chez Eset ont rapporté peu de temps après que de nombreuses applications ayant subi cette mutation se trouvaient dans Google Play, et que la forme originelle du malware y a été téléchargée à plusieurs reprises en mai dernier. Les découvertes, combinées à celles d’Eset, prouvent que les auteurs de ces malwares persistent dans leur intention de faire de Google Play une résidence permanente pour leurs logiciels malveillants.

Quelques jours plus tard, le malware était déjà de retour sur Google Play. Le malware, identifié sous l’appellation « Clicker-AR », était présent dans les trois applications suivantes : Doganin Güzellikleri, Doganin Güzellikleri 2, Doganin Güzellikleri 3. Ce qui signifie littéralement « Beautés de la Nature ». Les pirates avaient en effet modifié les noms des développeurs afin que Google ne puisse pas les retrouver facilement. Avast a signalé à Google la présence de ces applications malveillantes et celles-ci ont été une nouvelle fois retirées.

Que peut faire l’utilisateur ?

Google a du pain sur la planche. En effet, la société a en charge à la fois le maintien du système d’exploitation pour mobiles le plus populaire au monde et un « app store » proposant environ 1,5 millions d’applications. Un antivirus n’est pas à négliger, la source du logiciel est à vérifier par les utilisateurs avant le moindre téléchargement. Faire attention aux demandes d’autorisations des applications. Si une application fait une demande d’autorisation que l’utilisateur ne juge pas nécessaire pour le bon fonctionnement de l’application, cela annonce probablement la présence d’une faille. Même si cela peut-être piégé, vérifier les avis d’utilisateurs.

Deux applications malveillantes dans 1 million de smartphones

Deux applications pour smartphone et tablette Android, Cowboy Adventure et Jump Chess, cachaient en leur sein un outil d’interception de données pour se connecter aux réseaux sociaux des joueurs piégés.

Des logiciels pour smartphone (ordiphone, NDR) et tablette, Google Play en propose des centaines de milliers. Dans le lot, des brebis galeuses à l’image des jeux proposés par l’éditeur Tinker Studio. L’entreprise, totalement inconnue et inexistante sur Internet, diffusait depuis avril 2015, un jeu de plateforme. Vous étiez représenté par un « Indiana Johns » et vous deviez récupérer des diamants à la sauce Mario Bros. Le jeu, pas vraiment original, offrait cependant de joli graphisme et une musique attrayante.

Le 16 mai 2015, Data Security Breach constatait que l’application était considérée comme « non dangereuse » par 56 antivirus. C’est du moins ce que tentait de faire croire les malveillants derrières cette application et les sites qu’ils utilisaient pour diffuser leurs microbes.

A noter que les mêmes créateurs avaient édité Jump Chess 1.1. Lui aussi, soit disant « safe », lui aussi diffusé par des dizaines de sites Internet spécialisé dans les applications Android. Sites qui ne vérifient en rien les contenus qu’ils diffusent. Jeu d’échec lui aussi piégé. C’est d’ailleurs l’éditeur ESET qui va tirer la sonnette d’alarme.

Les deux applications récupérées les informations permettant de se connecter à Facebook. 1.000.000 copies auraient été téléchargées selon l’éditeur d’antivirus. Des logiciels qui ont depuis été retirés du Google Play Store.

La méthode du pirate était simple. Une fausse page Facebook s’affichait dans le menu du jeu. L’internaute ainsi piégé rentrait ses identifiants de connexion. Autant dire que le « pirate » a pu engranger énormément de comptes Facebook.

Il est fortement conseillé, surtout si vous avez téléchargez le jeu de plateforme ou le jeu d’échec, d’effacer les programmes de votre téléphone, de votre tablette, mais aussi et surtout de changer votre mot de passe Facebook (Profitez-en pour utiliser la double authentification, NDR). A noter que l’escroc est un malin, il en a profité pour jouer avec un bug sur Google Play qui permet de mettre n’importe quelle information à l’écran. Bilan, facile d’afficher son appartenance aux éditeurs du Google Play aux yeux qui ne connaissent pas les finesses économiques et commerciales du géant de l’Internet. Voici l’exemple de Data Security Breach (sans danger) qui prouve une facilité de manipulation.

Failles pour l’ensemble des téléphones mobiles LG

Une faille visant les smartphones LG sous Android toujours pas corrigée. Le constructeur annonce patcher la vulnérabilité dans les prochaines versions de ses téléphones sous Lollilop.

Des étudiants chercheurs de l’université de Budapest (SEARCH-LAB) avaient découvert, en 2014, une faille pour les téléphones LG fonctionnant sous Android. La société avait indiqué ne pas vouloir patcher une faille difficile d’accès. SEARCH-LAB avait notifié LG en novembre 2014.

Selon un document publié lundi, LG a répondu à la notification en indiquant que le constructeur envisageait un correctif qui ne sera appliqué qu’aux nouveaux modèles de la marque. Des téléphones sous Android Lollipop. « Selon l’état actuel, l’ensemble des smartphones LG basés sur Android sont affectés par cette vulnérabilité« , confirme les chercheurs.

L’attaque est possible via la méthode man-in-the-middle [l’homme du milieu, ndr] qui permet de piéger le certificat SSL du serveur de LG qui n’est pas vérifiée par l’application de mise à jour du constructeur. Pour se protéger, pour le moment, il est conseillé aux utilisateurs de couper la connexion wifi automatique (On ne laisse jamais son wifi ouvert hors zone sécurisée, NDR) et d’effectuer les mises à jour de son téléphone que via une connexion fiable et sécurisée.

Après les 600 millions de téléphones Samsung et les différentes failles pour iOS, les ordiphones sont dans la ligne de mire des failles et des possibilités malveillantes.

Risques sur mobiles : 1 code malveillant sur 2 cible l’argent des victimes

Selon le G DATA Mobile Malware Report, 5000 nouveaux programmes malveillants ciblent les appareils mobiles chaque jour.

Les achats réalisés à partir d’appareils mobiles connaissent une forte croissance. En France, le m-commerce représente 20 % des transactions en ligne selon le bilan du e-commerce au 1er trimestre 2015 de la Fevad. La gestion des comptes bancaires en ligne avec le mobile est une autre tendance qui attise la convoitise des cybercriminels. En gérant ses accès bancaires avec son mobile, l’utilisateur casse la protection à double facteur et laisse la porte ouverte aux attaques. Le rapport sur les dangers mobiles montre que 50% des 440 000 programmes analysés au premier trimestre 2015 ont un objectif purement financier.

La banque sur mobile, nouvelle cible ?
La croissance de l’utilisation des appareils mobiles pour gérer les comptes bancaires en ligne pose un nouveau problème de sécurité exploité par les cybercriminels. Les authentifications à double facteurs (identification sur le site Internet et validation par envoi SMS sur le mobile) mises en place par les banques pour sécuriser l’accès au compte en ligne montrent leur limite lorsque l’accès au compte et la validation se réalisent sur le même appareil. Une faille exploitée par exemple par le trojan bancaire FakeToken. Ce code se déguise en une application fournie par la banque. Une fois installée sur le mobile, l’application accède au compte de la victime et réalise des transactions bancaires en interceptant les codes de validation envoyés par SMS.

L’argent comme priorité
Les tablettes et smartphones deviennent des cibles de choix chez les attaquants. Il a été constaté qu’au moins 50% des programmes malveillants analysés ont une finalité financière. Les trojans constituent la majorité de ces dangers. Certains chiffrent les données de l’utilisateur et demandent une rançon ou abonnent la victime à des services surtaxés. D’autres, plus avancés, ciblent les comptes bancaires.

Hausse des dangers sur mobiles au premier trimestre 2015
Les experts ont identifié 440 267 nouveaux échantillons de malware Android au premier trimestre 2015. Comparé au dernier trimestre 2014 (413 871), le nombre de programmes nuisibles pour Android augmente de 6,4%, et de 21% si l’on compare au 1er trimestre 2014 (363 153).

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

Une puce dans la main pour pirater des smartphones

Nous avions la puce dans le bras pour rentrer en boîte de nuit, voici venir la puce NFC dans la main pour pirater des téléphones portables.

Seth Wahle est un chercheur en sécurité informatique et technologie sans fil qui a de la suite dans les idées. Il vient de se lancer dans un projet qui demande quelques connaissances en couture et charcuterie.

Il s’est implanté une puce NFC sous la peau de sa main afin de tester son système d’interception de données. Dans sa main gauche, entre le pouce et l’index, du matos acheté sur le site chinois AliBaba. Pour 40 dollars, le voilà avec un outil de 888 bytes de mémoire. Dorénavant, sa main n’a qu’à effleurer un téléphone dont le NFC est branché. Un contact qui lance une page web qui exécute le téléchargement d’un programme comme il l’a expliqué au journal Forbes. Il faut cependant que le téléphone ne soit pas trop protégé pour accepter le téléchargement et l’installation de l’outil pirate.

Il présentera son projet à Miami, du 15 au 17 mai prochains, lors d’un hackfest local.

Plus de 4500 nouveaux fichiers malveillants chaque jour sur Android

Le Mobile Malware Report G DATA du second semestre 2014 fait état d’une croissance soutenue des dangers ciblant Android : 796 993 fichiers malveillants ont été détectés durant la période.

Au total, 1,5 million de codes dangereux sur Android ont été analysés en 2014. Une croissance qui reflète le fort intérêt pour la plateforme. Selon l’institut IDC, 80% des systèmes d’exploitation utilisés dans le monde seraient sous Android.

Au cours du second semestre 2014, le nombre de nouveaux malware pour Android a augmenté de 6,1% comparé au premier semestre de la même année. Avec un total de 1,5 million de nouveaux logiciels malveillants, l’année 2014 connait une croissance de 30% comparée à l’année 2013.

Évolution des malwares ciblant Android depuis 2011
Les boutiques alternatives d’applications sont des vecteurs de codes nuisibles. Mais en fonctions des pays, les utilisateurs ne sont pas tous exposés de façon égale aux dangers. Les experts G DATA ont analysés plusieurs plateformes et les résultats montrent que les boutiques européennes et américaines
proposent moins d’applications dangereuses que les boutiques chinoises ou russes. Sur certaines plateformes chinoises, près d’une application sur quatre est infectée par un code malveillant ou un programme potentiellement indésirable (PUP).

En 2014, G DATA découvrait un spyware intégré dans le micrologiciel (firmware) du smartphone Star N9500. En mars de cette année, c’est le modèle Mi4 du fabricant Xiaomi, commercialisé en Allemagne, qui est en cause. En localisant ce téléphone pour le marché allemand par la mise à jour de son firmware, l’importateur y a intégré un programme d’espionnage qui envoie des données utilisateurs sur des serveurs distants. Volontaire ou non, cette intégration pose le problème des canaux de distribution peu traçables empruntés par certains matériels importés de Chine. (MMB)

Découverte d’une nouvelle technique de camouflage dans un malware

Les experts de l’éditeur allemand G DATA ont découvert de nouveaux programmes malveillants liés à un botnet Andromède. Un de ces codes, qui se distribue via des macros dans les documents Word manipulés, utilise une technique rare de camouflage par stéganographie. « Le malware se comporte comme une poupée russe sur le système. Il révèle progressivement son objectif« , explique à DataSecurityBreach.fr Ralf Benzmüller, directeur du G Data SecurityLabs. « Les systèmes infectés sont destinés à être utilisés comme PC zombies dans le botnet Andromède / Gamarue« .

Infection en 5 étapes
Le début de l’attaque s’effectue par un document MS Word manipulé. Un tel document se propage par e-mails de spam. Dans le cas étudié, le nom du document suggère qu’il s’agit d‘un contrat. En ouvrant le document et en activant les Macros Office, la victime active une série d’actions qui vont amener à l’infection. Un premier programme déchiffre un second code stocké dans une image (stéganographie). Celui-ci lance en cascade un troisième code en mémoire (le payload) qui injecte la charge utile dans le système. Ce dernier programme malveillant, msnjauzge.exe, intègre une entrée de démarrage automatique dans le Registre pour survivre au redémarrage système : le système cible est infecté.

Le Botnet Andromède identifié
Le fichier msnjauzge.exe est le point d’entrée d’un botnet bien connu appelé Andromède, aussi connu sous le nom de Gamarue. Ce botnet est connu pour avoir livré le cheval de Troie bancaire ZeuS en 2011. Lors de cette analyse, le serveur C&C contacté par l‘échantillon étudié était en ligne, mais n’avait pas délivré de code supplémentaire sur la machine infectée. Par conséquent, l’utilisation prévue pour ce botnet n‘est pas encore déterminée. (Gdata)

Des portes dérobées découvertes dans des terminaux Android

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

Facebook sécurise WhatsApp à coup de chiffrement

L’outil de conversation WhatsApp chiffre dorénavant les messages diffusés par ses utilisateurs. Voilà une nouvelle qui a de quoi étonner. Non pas que Facebook soit considéré comme un pirate, mais plutôt comme un aspirateur de données.

WhatsApp, la messagerie rachetée par Facebook se lance dans la grande aventure du chiffrement qui transitent par ses bits. Facebook vient d’annoncer un chiffrement de bout-en-bout, comprenez que même Facebook ne possède pas les clés de lecture. Whisper Systems, développeur de TextSecure, considéré comme étant l’application de messagerie la plus sécurisée du moment, a aidé à la mise en place de cette protection qui doit permettre aux internautes de chiffrer leurs messages. Bilan, la derniére mise à jour de WhatsApp pour Android transporte cette sécurité. Les 600 millions d’utilisateurs de WhatsApp vont donc apprécier cette attention. Attention, elle ne chiffre que les messages textes.

TextSecure est une application de messagerie qui vous permet de vous réapproprier votre vie privée tout en communiquant facilement avec vos amis. Avec TextSecure, vous pouvez communiquer instantanément tout en évitant les frais de SMS, créer des groupes pour discuter en temps réel avec tous vos amis à la fois, et partager des pièces jointes, photos ou autres en toute confidentialité. Le serveur n’a jamais accès à vos communications et n’enregistre aucune donnée vous concernant. (The Verge)

 

Un outil Ransomware Removal supprime Simplocker

L’éditeur de solution de sécurité informatique AVAST annonce la sortie d’avast! Ransomware Removal, une nouvelle application gratuite qui élimine les logiciels de rançon Android et déchiffre les fichiers verrouillés et pris en otages.

Avec la nouvelle application pour smartphones et tablettes Android, AVAST propose une solution rapide et gratuite à la menace Simplocker détectée début juin. Simplocker est un nouveau virus Android qui chiffre les photos, les vidéos et les documents stockés sur les smartphones et les tablettes, et exige ensuite un paiement pour les déchiffrer. « Simplocker bloque l’accès aux fichiers stockés sur des appareils mobiles. Sans notre outil gratuit de suppression de logiciel de rançon, les utilisateurs infectés doivent payer 21 $ pour récupérer l’accès à leurs fichiers personnels, déclare à Data Security Breach Ondrej Vlcek, directeur technique d’AVAST Software. Même si nous voyons une croissance exponentielle des logiciels de rançon sur les appareils mobiles, la plupart des menaces de chiffrement des fichiers personnels sont fictives. Simplocker étant le premier logiciel de rançon qui chiffre véritablement ces fichiers, nous avons développé un outil gratuit pour que les utilisateurs puissent les restaurer. »

Toute personne infectée par Simplocker ou tout autre type de logiciel de rançon peut télécharger l’outil gratuit avast! Ransomware Removal en visitant la version web du Google Play Store et en installant ensuite l’application à distance sur son appareil infecté. Une fois celle-ci installée, l’utilisateur peut lancer facilement l’application et éliminer la menace. L’outil analysera ensuite l’appareil, supprimera le virus et déchiffrera les fichiers de l’utilisateur.

Faille pour le lecteur Adobe PDF dédié à Android

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.

 

Une faille dans le cœur d’Android

Six vulnérabilités dans le fonctionnement d’Android pourraient permettre à un pirate de prendre la main sur votre matériel. Des chercheurs de l’Université Américaine de l’Indiana, secondés par leurs mécènes (Microsoft), ont découvert plusieurs vulnérabilités dans l’OS de Google, Android.

Les ingénieurs expliquent qu’il serait possible à un pirate de prendre la main sur les privilèges de la machine via des applications malveillantes… et autorisées par Google et les utilisateurs. Bilan, les Applis prennent le pouvoir quand de nouvelles fonctionnalités apparaissent dans Android.

Des fonctions qui s’intègrent automatiquement dans les applications quand l’OS se met à jour. De nouvelles fonctions que les utilisateurs subissent et ne peuvent contrer. Des privilèges imposés qui ont rapidement été repérés par des malveillants. Les chercheurs ont diffusé une application piégée sur Google Play et l’AppStore d’Amazon pour leur démonstration. « Ces vulnérabilités affectent tous les appareils Android dans le monde » expliquent les chercheurs, soit plusieurs centaines de millions d’utilisateurs.

En gros, quand une application est installée, vous découvrez la liste des autorisations de la dite application (faut-il encore lire la liste, ndr). Quand l’OS se met à jour, et propose de nouvelles fonctionnalités, ces dernières sont intégrées dans les applications… sans que vous en soyez au courant.Bilan, des « bonus » qu’exploitent certaines applications sans que vous en soyez alerter.

Google avait déjà corrigé une faille de ce type, en 2013. Une vulnérabilité, découverte par la société Bleubox, qui visait Android depuis 4 ans.

Portes ouvertes sur vos données pour les Samsung Galaxy ?

Vous possedez un smartphone Galaxy de Samsung ? Vous allez apprécier l’annonce effectuée par la Free Software Foundation qui vient d’annoncer la découverte d’une porte cachée, une backdoor, dans les appareils android de la marque sud coréenne. Tout en travaillant sur Replicant, une version entièrement gratuite/libre d’Android, un concepteur a découvert que le logiciel propriétaire de Samsung, en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem, met en œuvre une porte dérobée qui permet au modem d’effectuer des opérations sur le système de fichiers, le tout à distance. Bilan, il serait possible à celui qui connait le « truc », d’accéder à aux données personnelles stockées dans le materiel.

Autant dire que le système de chiffrement que propose Samsung ne servirait à rien face à ce tour de passe-passe. Les Galaxy S3, Galaxy Note 2 et le Galaxy Nexus sont concernés. Paul Kocialkowski, développeur de Replicant, propose aux clients Samsung d’interpeller publiquement le constructeur pour une explication sur cette porte cachée et éliminer cet outil intrusif. Faut-il encore qu’il eut été au courant que le logiciel indépendant d’Android, qui gére les « baseband chips », était « piégé ». Nous imaginons difficilement que la société commerciale tente de jouer avec le feu en cachant, bien mal, ce système espion.

A noter que Replicant propose un patch bloquant cette backdoor. Une façon de faire un peu de pub à Replicant face à l’annonce de Knox, le système de sécurité de Samsung ? Korben propose une lettre à envoyer à Samsung. Une idée proposée par la FsF.

« Bonjour,

Je tiens à exprimer mon mécontentement suite à la découverte, dans la gamme Galaxy de vos smartphones, d’une puissante backdoor dans la puce baseband. Etant moi-même propriétaire d’un Samsung Galaxy S3, j’aimerais que vous me disiez ce que vous faites de cette backdoor, qui visiblement permet un contrôle total sur le smartphone et ses données.

A l’heure des révélations d’Edward Snowden et de la mise en cause de nombreuses grandes sociétés comme Google ou Microsoft, il est dommage de constater que Samsung rejoint le banc des accusés en offrant à n’importe qui sachant y faire, NSA en tête, la possibilité de prendre le contrôle total de n’importe quel smartphone, incluant les messages, les fichiers, le GPS et la caméra.

J’attends donc de votre part des explications, et bien sûr une correction de ce système qui ne peut pas être un simple erreur. Il est temps de mettre fin à l’espionnage de masse. En tant que leader dans les nouvelles technologies, au lieu de conforter un système de surveillante malsain, Samsung devrait au contraire montrer la voie d’une technologie au service de ses utilisateurs, et non l’inverse.

Merci d’avance.
Cordialement« 

Piratage d’un Android en 10 secondes

L’application Bing de Microsoft sous Android permettait de pirater un smartphone en 10 secondes. Microsoft a corrigé la faille. Faut-il encore que les utilisateurs de smartphones sous Android, utilisateurs de l’application de Microsoft, pensent à faire la mise à jour de leur outil. Un hacker a découvert, il y a quelques jours, comment il était possible de pirate un smartphone via l’application fuiteuse. Il fallait 10 secondes pour réussir le tour de passe-passe. Le chercheur de chez Trustlook a motivié Microsoft à passer son application en version 4.2.1.

L’attaque était simple : connecté en WiFi, sur une connexion non sécurisée, l’application permettait une prise de contrôle des informations  de votre « précieux ». La société de sécurité informatique indique qu’il y aurait près d’un milliard de propriétaires de smartphones visés par cette potentialité malveillante.

Bref, après Snapchat, Microsoft démontre que les applications pour smartphone sont réalisées à la va vite et que les utilisateurs installent, sans le savoir, de véritable mouchard. ZATAZWeb.tv de janvier vous montre, d’ailleurs, un de ces logiciels espions, capable de lire vos SMS, de photographier, filmer ou enregistrer des sons avoisinant le smartphone. Sans parler d’un suivi, en temps réel, de votre situation géographique.

 

Un mouchard dans votre poche… la preuve

Vous avez un smartphone dans votre poche ? Voici comment vous suivre à la trace… et avec votre consentement ! Google cache dans ses services une option aussi dingue qu’effrayante. Elle permet de suivre n’importe quel internaute, à la trace. Pour cela, rien de plus simple. Avoir un smartphone, si possible sous Android, et un compte gMail (ou Youtube, ou tout simplement chez Google). Le materiel dans votre poche fait le reste.

Comme le montre ma capture écran ci-dessous, on peut suivre les déplacements, jour par jour, heure par heure. Comme l’indique Google dans sa page dédiée : « L’accès aux données de localisation dans l’application Paramètres Google est disponible sur les appareils équipés de la version 4.1 à 4.3 d’Android. L’historique des positions et la mise à jour de la position sont disponibles dans l’application Paramètres Google sur les appareils équipés d’Android 4.0 ou version ultérieure sur lesquels l’application Google Maps pour mobile version 7.0 ou ultérieure est installée. » Le plus fou est que cette page existe depuis longtemps comme le confirme Telcrunch.

Comment se prémunir ?
Pour faire disparaitre ce mouchard, vous pouvez contrôler la manière dont les applications Google utilisent votre position à l’aide d’un simple paramètre, sans que cela ait un impact sur l’accès des applications tierces. Pour ce faire, procédez comme suit : D’abord dans le menu des applications de votre appareil, sélectionnez Paramètres Google ; puis dans un second temps vous appuyez sur la case à côté de l’option Données de localisation. Le paramètre est désactivé lorsque la coche disparaît. Attention, ce paramètre n’a d’incidence que sur les applications Google. Si vous le désactivez, les services Google proposés en dehors des applications et les applications autres que Google pourront déterminer votre position via votre appareil. Vous souhaitez regarder ce que possède Google sur vous, vos adresses, vos balades … (et la NSA aussi) ? direction Location History.

Effacer les traces ?
Data Security Breach a cherché comment effacer cet historique. Heureusement, il est possible de le supprimer. Direction l’application « Paramètres Google » accessible depuis le menu des applications de votre appareil, ou sur le site Web correspondant. Dans le menu des applications de votre appareil, ouvrez l’application Paramètres Google : Appareils équipés d’Android 4.3 ou version antérieure : appuyez sur Position > Historique des positions. Appareils équipés d’Android 4.4 : appuyez sur Position > Services de localisation > Mise à jour de la position Google > Historique des positions.Appuyez sur Supprimer l’historique des positions en bas de l’écran.

Sur le site web, sélectionnez une date pour laquelle vous disposez d’un historique. Ensuite, pour l’historique complet : sélectionnez Supprimer tout l’historique pour supprimer l’intégralité de l’historique enregistré. Par date : sélectionnez Supprimer l’historique de ce jour pour supprimer l’historique correspondant à la date sélectionnée. Sélectionnez une plage de dates, puis l’option Supprimer l’historique enregistré pour cette période, pour supprimer l’historique correspondant à l’ensemble des jours sélectionnés. Par position : sélectionnez un lieu dans la liste ou sur la carte. L’info-bulle vous permet de supprimer cette position de votre historique.

 

MisoSMS : LE malware Android ?

Le code malveillant MisoSMS, pour Android, serait le plus virulent des malwares du moment. Les chercheurs en sécurité de FireEye ont découvert ce qu’ils nomment comme étant l’un des plus utilisé botnet Android. Baptisé MisoSMS, le malware a été exploité dans 64 campagnes de spywares. Selon le rapport des experts de l’entreprise, le malware est déguisé en une application dédiée aux « Paramétrages Android« .

Le logiciel pirate est conçu pour voler les messages (SMS) sauvegardés dans les smartphones. Les informations sont ensuite envoyées en Chine. FireEye explique qu’il collabore avec la justice et le webmail chinois qui permet aux pirates d’exploiter les données afin de perturber le botnet. Il y a eu du boulot, plus de 450 comptes emails étaient exploités dans cet espionnage. La majorité des victimes sont Coréennes.

 

Android KitKat a des progrès à faire en matière de sécurité

Cinq spécifications qui permettraient à la version Android 4.4 de mieux protéger ses utilisateurs contre les malwares. Face à un nombre toujours croissant de menaces spécifiquement conçues pour les appareils mobiles, les laboratoires Bitdefender ont étudié la dernière version du système d’exploitation Android (4.4) afin d’identifier les spécifications manquantes en matière de sécurité et de protection des utilisateurs.

Bitdefender a ainsi listé 5 spécifications dont devrait disposer Android 4.4 pour assurer une meilleure protection des utilisateurs et permettre également aux éditeurs d’antivirus de lutter plus efficacement contre les malwares.

Android est aujourd’hui le 1er OS mobile avec plus de 900 millions d’appareils dans le monde, et donc une cible privilégiée des cybercriminels. Malgré les importantes modifications apportées à sa version Jelly Bean 4.3, le prochain système baptisé KitKat a cependant des progrès à faire en matière de sécurité :

1- Une API d’analyse antivirus
Par défaut, Android n’autorise pas les applications à interagir les unes avec les autres, sauf si l’application partage un identifiant utilisateur et est signée numériquement par le même développeur. Cela pose un problème aux développeurs antivirus qui ne peuvent pas analyser correctement les autres applications installées, à moins que le téléphone ne soit rooté.
Une API d’analyse antivirus permettrait aux éditeurs de mieux intégrer leur solution de sécurité au système d’exploitation et garantirait ainsi à l’utilisateur que toutes les applications soient analysées convenablement.

2- Un contrôle individuel des permissions des applications
Celui-ci permettrait à un utilisateur d’accepter ou de refuser des autorisations spécifiques à une application. Il semble que Google travaille dans ce sens puisque la version Android 4.3 dispose d’un menu caché qui permet de gérer de façon précise certaines autorisations avant d’installer l’APK.

3- Des applications de sécurité intégrées
La possibilité de disposer d’applications clés de sécurité et de protection des données, telles qu’un outil antivol, directement intégrées dans son appareil permettrait de parer à la suppression des données et à la restauration des paramètres d’usine.
En effet, lorsqu’un appareil est perdu ou dérobé par un tiers, il est d’usage que le voleur efface complètement les données utilisateur à l’aide du mode de restauration intégré, ce qui supprime entre autres les applications de sécurité et les outils antivol et par conséquent ne permet plus au propriétaire de contrôler son appareil à distance et d’activer la géolocalisation de l’appareil.

4- Une sandbox intégrée pour isoler les applications suspectes
Lorsque l’utilisateur installe une application à partir d’une source non fiable, comme des ‘market-places’ alternatives ou directement de développeurs, il faudrait qu’il ait la possibilité de l’exécuter dans une sandbox (bac-à-sable) et ainsi surveiller les éventuelles fuites d’informations ou les activités coûteuses (telles que l’envoi ou la réception de SMS premium).

5- Des profils selon les usages : Professionnel / Loisirs
La configuration de 2 profils pour un utilisateur sur un appareil unique : d’une part un profil Professionnel pour consulter les données liées à son entreprise, et d’autre part un profil Loisirs avec les applications personnelles, répondrait parfaitement au manque de politique de sécurité encadrant le BYOD qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels.

Selon le dernier rapport sur l’évolution des malwares Android publié par Bitdefender, les techniques utilisées par les menaces sur mobiles se rapprochent de plus en plus de celles utilisées sur PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile. La sécurité mobile sur Android n’est plus facultative mais obligatoire. Plusieurs initiatives, plus ou moins pertinentes, vont dans le sens d’apporter plus de sécurité aux utilisateurs d’appareils mobiles à l’instar de Firefox OS de Mozilla, Knox de Samsung, Ubuntu for Touch de Canonical ou encore le projet DAVFI.

Androïck Ver. 2.0 reconnu par l’OWASP

Cocorico ! Androïck version 2.0 vient de sortir. L’outil a été sélectionné par l’OWASP Mobile Security Project. C’est le seul outil français a avoir été sélectionné ! Derrière cette création, Florian Pradines, 20 ans, un étudiant en deuxième année à l’IUT informatique d’Aix-en-Provence (Aix-Marseille Université). En plus de ses études, le chercheur travaille pour la société Phonesec en tant qu’expert sécurité. La rédaction de Data Security Breach a posé quelques questions au jeune informaticien pour découvrir quelques petits secrets sur son outil.

[+] Datasecuritybreach.fr – Qu’est ce qu’Androïck ?

Florian Pradines- Androïck est un outil programmé en python qui permet d’apporter une aide à l’analyse forensic des applications Android stockés sur nos appareils. L’application récupère le fichier apk (en gros, le logiciel), les données qui sont stockées sur votre ordinateur. Ensuite, l’application analyse tous les fichiers récupérés à la recherche de bases de données et lorsqu’elle en trouve, elle les extrait au format csv afin d’en faciliter l’analyse. Un autre point intéressant est le fait qu’Androïck récupère aussi les fichiers et apk stockés sur la carte SD du téléphone. Il est aussi compatible avec les applications systèmes.

[+] Datasecuritybreach.fr – Pourquoi cette idée ?

Florian Pradines – Lorsque j’analysais des applications, une étape qui pouvait être longue était celle de récupérer toutes les données (apk, fichiers, etc…) sur mon ordinateur. Ensuite, il fallait que je trouve les bases de données pour les extraire et voir leur contenu. Sans compter que parfois, je perdais un peu de temps à chercher le nom exact du package pour pouvoir le récupérer. Cette étape n’est pas particulièrement intéressante et c’est là qu’intervient Androïck.

[+] Datasecuritybreach.fr – Etre choisi par Owasp, voilà de quoi être fier ?

Florian Pradines – Bien sûr, c’est une grande satisfaction et fierté. Je consacre du temps à ce projet et être choisi par l’OWASP va me permettre de pouvoir échanger avec d’autres personnes importantes sur la scène Android.

[+] Datasecuritybreach.fr – Evolution de l’outil ?

Florian Pradines – L’outil va bien sûr évoluer encore. Les prochaines fonctionnalités seront sûrement la décompilation automatique de l’application et la conversation au format jar, afin de gagner encore plus de temps sur l’analyse. Dans le futur, si le projet fonctionne aussi bien que je l’espère, une application Android pourrait voir le jour afin de faire certaines opérations directement sur son smartphone.

[+] Datasecuritybreach.fr – Autres projets ?

Florian Pradines – La sécurité iOS et Windows phone qui sont des acteurs importants du marché m’intéressent aussi. J’ai dans l’idée de faire de la recherche sur ces systèmes.

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Tools https://www.owasp.org/index.php/Projects/OWASP_Androick_Project

Les menaces sur Android se rapprochent des attaques sur PC

Les malwares Android passent du ‘simple’ Trojan par SMS au ransomware. DataSecurityBreach.fr a pu constater selon le rapport sur l’évolution des malwares Android publié par Bitdefender, que de nouvelles e-menaces plus sophistiquées qu’auparavant sont apparues au premier semestre 2013. En effet, si les précédents rapports faisaient état d’une augmentation des Trojans qui envoient des SMS surtaxés à l’insu des utilisateurs de Smartphones, le nombre de ransomwares pour Android a augmenté durant les six premiers mois de l’année, ciblant majoritairement l’Asie. Bien que le Trojan SMS, à l’instar de la famille de Trojans – Android.Trojan.FakeInst, représente 72,51% des malwares Android détectés au niveau mondial, ce rapport confirme une tendance de fond : les menaces sur mobiles se rapprochent de celles bien connues dans le monde des PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile.

Le malware bancaire ZitMo sévit majoritairement en Chine Sur le premier semestre 2013, le rapport d’analyse de Bitdefender montre que les utilisateurs Android qui achètent régulièrement en ligne ont pu être touchés par le Trojan bancaire ZitMo. Si les utilisateurs chinois ont été majoritairement victimes de ce malware (44,65 %), l’Allemagne apparaît aussi comme une cible privilégiée en arrivant en tête des pays européens (14,47 %).

ZitMo Le malware bancaire a pour objectif principal de détourner les transactions réalisées en ligne. Sur Android, ces malwares sont installés sur l’appareil par l’utilisateur en se faisant passer soit pour une application sécurisée, soit pour une mise à jour du certificat de sécurité à télécharger à la suite d’un achat en ligne. DataSecurityBreach vous rappelle que ZitMo reçoit des instructions d’un serveur de commande et de contrôle (C&C) et peut transmettre tous les messages SMS reçus. Cela est particulièrement intéressant pour les hackers puisqu’ils peuvent ainsi recevoir le numéro d’authentification bancaire mTAN (mobile Transaction Authentification Number) aussitôt que l’utilisateur initie une transaction. Grâce au Trojan bancaire Zeus déployé sur le PC, et son équivalent sur mobiles ZitMo qui intercepte les SMS avec le code mTAN, les cybercriminels peuvent ainsi prendre le contrôle total sur la transaction bancaire. Le Trojan ZitMo est également exploité par les cybers escrocs pour dérober des données personnelles, au même titre que d’autres familles de malwares Android, et parfois même les adwares qui peuvent sembler plus inoffensifs de prime abord.

Augmentation du nombre de ransomware pour Android

Bitdefender a également analysé la propagation de la famille de malwares FakeAV qui comprend entre autres le nouveau ransomware Android. FakeAV.C. ainsi que le Trojan Android.FakeAV.B dont le but était de voler des données personnelles ou sensibles. L’analyse révèle que l’Inde (32,70 %) et l’Indonésie (15,90 %) sont les deux pays les plus ciblés par cette famille de ransomwares, devant la Malaisie (6,96 %) et la Thaïlande (4,68 %). L’Europe est encore relativement épargnée par ce type de ransomware pour Android pour le moment. Cela s’explique par le fait que les utilisateurs européens ne téléchargent pas encore autant d’applications à partir de plates-formes non officielles, autre que Google Play.

FakeAV

Découvert en Asie, le nouveau malware Android. FakeAV.C, se comporte à peu près de la même façon qu’un ransomware sur PC. Déguisé en solution antimalware, incitant l’utilisateur à le télécharger de son plein gré, il bloque la machine sur laquelle il est installé. L’utilisateur piégé est ensuite sommé de payer une somme d’argent s’il veut voir les fonctionnalités de son appareil de nouveau accessibles. Le niveau accru de sophistication et la similitude de ce Cheval de Troie avec un ransomware pour PC pourraient suggérer que les codeurs de malwares Android se lancent sur ce « marché » en pleine croissance. La reproduction des comportements de malwares PC sur Android n’est pas une nouveauté puisque déjà observée dans le passé avec les adwares, qui ont gagné en popularité et se sont développés sur les OS mobiles. A noter que la famille Android.Adware.Plankton, reste la famille d’adwares la plus active au niveau global avec 53,34 % de détections.

Adwares

Le manque de politique de sécurité encadrant le BYOD, qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels, et les risques pris par les utilisateurs peu attentifs et souvent ignorants des risques de sécurité, favorisent activement le travail des cybercriminels. Ces derniers ont alors toutes les cartes en main pour exploiter ces vulnérabilités et pouvoir s’infiltrer et prendre le contrôle de façon ciblée de nombreuses ressources dans une société. Au vu des ces nouveaux vecteurs d’attaques et de la prolifération de nouveaux types d’e-menaces, la sécurité mobile sur Android n’est plus facultative mais obligatoire.

Attaque sur Android via un WhatsApp malveillant

Un utilisateur d’Android aurait reçu un fichier de contact WhatsApp malveillant. Document qui aurait été capable de changer le nom des personnes inscrites dans votre carnet d’adresse. Shivam, un blogueur indien, explique qu’il a reçu un fichier de contacts. Après avoir ajouté les informations dans son smartphone, le code malveillant aurait réussi à remplacer les noms par « Priyanka. »

Le malware nécessite que l’utilisateur accepte le contact. Bref, évitez d’ajouter n’importe quoi dans vos téléphones. En cas d’attaque, coupez la connexion web, wifi et Bluetooth de votre téléphone. Accédé à vos contacts, et recherchez le nom « bizarre » à supprimer. Allez ensuite dans « Réglages » de votre téléphone. Sélectionnez les applications (App Manager) puis sélectionnez WhatsApp dans la liste. Il ne vous reste plus qu’à effacer les données.

AVG Uninstaller for Android

AVG Uninstaller for Android La nouvelle application d’AVG permet de libérer de l’espace et d’améliorer la performance, notamment en supprimant les apps non utilisées.

AVG Technologies N.V., fournisseur de solutions de sécurité mobile et internet, d’optimisation de protection des données pour plus de 150 millions d’utilisateurs actifs, a annoncé à Data Security Breach le lancement de son application AVG Uninstaller. Une application disponible gratuitement pour les smartphones et les tablettes Android.

Conçue pour aider les utilisateurs à mieux gérer les applications téléchargées sur leur smartphone et leur tablette Android™, AVG Uninstaller permet de mieux contrôler les apps en fonction de la taille de celles-ci, la fréquence de leur utilisation, la consommation de batterie ou l’utilisation de données mobiles pour ensuite juger, sur la base des informations collectées, celles qui peuvent être désinstallées. Avec des notifications régulières et proactives pour recommander la désinstallation de certaines applications, AVG Uninstaller permet de libérer rapidement et facilement de la place pour de nouvelles apps tout en assurant une meilleure performance de l’appareil – le tout sans avoir à effectuer de multiples tâches Android OS pour supprimer chaque app individuellement.

« Les études récentes démontrent que les consommateurs consacrent jusqu’à 82 % de leur temps aux apps[i]. Nous adorons tous télécharger ces programmes, mais il y a toujours des apps que nous oublions dès la première utilisation. Ce n’est pas forcément un problème immédiat, mais le fait d’avoir ces apps non utilisées qui continuent de fonctionner en arrière-plan peut affaiblir les appareils en affectant  la capacité de stockage, mais aussi la batterie et les données mobiles – autant d’éléments qui risquent, à terme, de nuire à la performance globale, déclare à datasecuritybreach.fr Yuval Ben-Itzhak, Directeur technologique chez AVG Technologies. En particulier, ceux  qui utilisent souvent leurs apps ou qui disposent de peu de mémoire dans leurs appareils risquent de se retrouver vite à court d’espace ou frustrés devant un smartphone ou une tablette qui rame de plus en plus. AVG Uninstaller for Android™ résout ce problème en permettant de désencombrer facilement l’appareil et de faire de la place pour de nouvelles apps plus utiles ».

Il n’existe pas de version française, pour le moment, de cette application.

Une nouvelle application nuisible pour Android toutes les 22 secondes

Android a pris l’ascendant dans le secteur du mobile. Selon l’institut Gartner, environ 75 % de tous les smartphones achetés dans le monde au cours du premier trimestre 2013 sont équipés d’Android. Rien d’étonnant alors que les cybercriminels se focalisent sur cette plateforme. Durant le seul mois de mai, Datasecuritybreach.fr a appris que le G Data Security Labs a dénombré environ 124.000 nouvelles applications malveillantes ciblant le système d’exploitation de Google, soit en moyenne une application toutes les 22 secondes. Leurs auteurs visent principalement à voler des données personnelles, envoyer des SMS ou réaliser des appels surtaxés.

« Les codes malveillants sur mobile ont rapidement évolué en une entreprise lucrative pour les cybercriminels. Les auteurs utilisent principalement des chevaux de Troie pour agir, car ils peuvent être déployés de multiples façons. Ces codes nuisibles permettent non seulement le vol de données personnelles, mais aussi la fraude en utilisant de coûteux services surtaxés », explique à Data Security Breach Eddy Willems, Security Evangelist chez G Data.

État de la menace
Durant le seul mois de mai, 124 255 applications malveillantes. 51 698 ont été référencées comme étant des applications indésirables (PUP ou Potentially Unwanted Program), autrement dit des programmes non spécifiquement dangereux mais qui installent des publicités ou perturbent la navigation Internet de l‘utilisateur. 72,527 applications ont quant à elles été identifiées et classées en tant qu’applications infectées. Autrement dit des programmes dangereux dont le but est de voler des données ou de prendre le contrôle de l’appareil. En moyenne, toute catégorie confondue, un danger touchant la plateforme Android est apparu toutes les 22 secondes durant le mois de mai.

Une nouvelle donne pour les malware Android ?

Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.

Le premier trimestre 2013 a été marqué par des nouveautés du côté des  malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.

Le nombre de familles et variantes de menaces mobiles est en  augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.

« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes », déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».

Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».

Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant «  coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.

Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.