Un premier malware Android à injection de code

Paolo GAROSCIO
Publié le 09 juin 2017 à 10h55
La firme spécialisée dans la sécurité informatique Kaspersky Lab a identifié une nouvelle forme d'attaque visant les smartphones et autres appareils tournant sous Android. Le malware, un cheval de Troie, est particulièrement dangereux et il annonce une nouvelle ère pour les attaques contre l'OS mobile de Google : l'ère de l'injection de code.

Appelé Dvmap, il a été identifié en avril 2017 par la firme russe, qui a averti Google de cette nouvelle menace. L'application concernée a été supprimée du store, mais le malware a frappé plusieurs dizaines de milliers d'appareils.

Dvmap : le premier malware à injection de code pour Android

Le 8 juin 2017, Kaspersky a publié le rapport intégral sur cette nouvelle attaque sur le site SecureList. L'attaque y est détaillée mais aussi la nouvelle technique utilisée par Dvmap, qui s'avère être une première dans le domaine des attaques Android. Avant d'être supprimé par Google, le malware a été téléchargé près de 50.000 fois, sans qu'il soit possible de savoir combien de ces attaques ont été un succès.

Dvmap est un malware de type trojan qui s'attaque aux droits d'administration (root) d'Android. Ce n'est pas le premier malware à utiliser cette technique pour prendre le contrôle de l'appareil. Mais Dvmap innove, puisqu'il utilise, pour la première fois selon Kaspersky Lab, une injection de code malveillant dans les librairies Android.

01F4000008315104-photo-botnet-malware-ban.jpg


Un contournement très simple de la sécurité du Play Store

Le malware adopte une nouvelle approche pour ne pas se faire repérer : une fois l'attaque visant les droits d'accès root d'Android réussie, il injecte dans les librairies lbdmv.so et libandroid_runtime.so du code malveillant, afin de se rendre invisible. Une technique identifiée pour la première fois de l'histoire chez Dvmap.

En outre, Kaspersky met en avant la technique utilisée par les pirates pour contourner la sécurité du Play Store de Google. Ils ont mis en ligne une version saine de leur application, "Colourblock", avant de la mettre à jour avec une version malveillante. Cette version n'est restée en ligne que durant une courte période, avant que la version saine ne la remplace à nouveau. Un procédé répété, selon Kaspersky, près de 5 fois en un mois.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles