Site icon Sophos News

Virus Android : attention aux SMS de vos amis !

Virus Android : attention aux SMS de vos amis !

SophosLabs nous a alerté concernant un malware, un virus Android, assez rare en ce moment.

C’est un virus Android, et plus précisément, un Worm, connu sous le code Andr/SlfMite-A.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]
NB : Même si nous disons, en général, “les Worms sont plutôt rares », nous avons signalé, il y a 2 semaines, un Worm pour Twitter relativement éphémère. Toutefois, un virus Android qui s’auto reproduit est, tout de même, peu commun.
[/vc_message][/vc_column][/vc_row]

Il y a 15 ou 20 ans en arrière, l’univers des malwares tournait, quasiment exclusivement, autour des virus et des Worms. Bien qu’internet était déjà populaire, seule une petite minorité surfait vraiment régulièrement. Ainsi les malwares ne pouvaient pas facilement s’infiltrer dans les boites de réception, ou sur les sites web, en attendant désespérément d’être cliqués !

Les virus et les Worms devaient tracer leurs propres routes, et ils se sont finalement mis à se développer de manière autonome, automatiquement, en cherchant tout simplement de nouveaux fichiers, ou ordinateurs à infecter. Ils scrutaient, à tout-va, les emails où ils pourraient s’inviter en tant que pièces jointes, ou les liens de téléchargement !

Voici donc la manière de procéder du virus Android Andr/SlfMite-A, bien qu’il s’auto-envoie sous la forme d’un SMS, contenant un lien internet, plutôt que sous la forme d’une pièce jointe le contenant.

Ainsi, si vous permettez à ce Virus Android de vous infecter, vous vous mettez en danger avec quasi-instantanément vos 20 principaux contacts.

Ce virus Android accède immédiatement à votre liste de contacts, et envoie à chacun des 20 principaux trouvés, un SMS de ce type :

“La différence entre les virus emails d’autrefois et les malwares de type spam, est que les virus emails provenaient toujours de quelqu’un que vous connaissiez, et très souvent de quelqu’un en qui vous aviez confiance !”

Ceci vous encourageait à ouvrir la pièce jointe, ou bien à cliquer sur le lien, même si, vous n’étiez pas sûr à 100% de la provenance.

Le virus Android Andr/SlfMite-A s’appuie sur ce magnifique levier qu’est la confiance des gens, les uns envers les autres. Cette confiance mutuelle qui existe, très souvent, entre utilisateurs Android.

Après tout, il est surement rare que vous ignoriez les SMS de vos amis, même si le contenu du message vous parait plutôt étrange !

Ainsi, en cliquant sur le lien, et en installant l’application « recommandée » par votre ami, le cycle continue et se répète : vous envoyer un SMS à vos 20 principaux contacts et ainsi de suite, …

En théorie, un tel virus peut se répandre de manière exponentielle : une victime du niveau 1 génère 20 victimes au niveau 2, 400 au niveau 3, et ainsi de suite, pour finalement atteindre 20N-1 au niveau N.

En pratique, bien sûr, cela n’arrive jamais : beaucoup de potentielles victimes dans chaque niveau vont, en fait, effacer le message, ou bien tout simplement l’ignorer, ou encore il sera bloqué par son antivirus.

De plus, 2 amis sont probablement dans leurs listes respectives des 20 contacts principaux. Ainsi, si vous infecter un ami, il va assez rapidement vous infecter de nouveau, ce qui normalement devrait vous mettre la puce à l’oreille, si rien ne vous l’a mis avant !

Néanmoins, les Worms ciblant les ordinateurs, et se propageant via les listes de vos amis, peuvent assez rapidement générer beaucoup de trafic, et ce volume d’échanges peut être réellement ennuyeux.

Cependant, le virus Android Andr/SlfMite-A ne se limite pas à une simple propagation.

Alors qu’il envoie un SMS à un de vos amis, il télécharge une application sur votre équipement.

L’application que nous avons découvert, lorsque nous avons testé ce virus, semble être une sorte de vitrine pour Mobogénie, une application Android de vente en ligne, qui se positionne comme une alternative à Google’s Play Store.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]
Le malware va chercher son application source via un raccourci goo.gl. Dans nos tests, ce lien est passé par de nombreuses redirections, signifiant que l’application, qui vient s’imposer sur votre Android, peut facilement être modifiée, varier en fonction du temps, du lieu, ou tout simplement de l’humeur du hacker.
[/vc_message][/vc_column][/vc_row]

Mobogénie est au courant de ce phénomène.

Comme l’a écrit John Zorabedian, de Naked Security, en avril 2014, Mobogénie a déjà été associé à ces fameux “drive-by installs” dans le passé, déclenchant de nombreuses réclamations, et forçant la compagnie à publier une déclaration sur Google’s Play Store.

Certains de nos utilisateurs ont récemment eu des problèmes concernant le téléchargement automatique de Mobogénie sur leur téléphone Android.

Le spamming de nos utilisateurs n’a jamais fait partie de nos intentions, c’est pour cela que nous tenons à nous en excuser. Nous avons, en effet, découvert un problème technique avec l’un de nos partenaires promotionnels, nous sommes en train de le résoudre, dans les meilleurs délais.

Toute l’équipe de Mobogénie regarde de très près toutes ces campagnes promotionnelles, et recommande vivement de télécharger l’application Mobogénie uniquement à partir de sources fiables telles que Google Play, mobogenie.com et d’autres partenaires au sein du réseau. Nous vous assurons qu’il n’y aura plus de gènes causées à nos utilisateurs Android dans le futur.

Malgré cette promesse, le récent message de Google’s Play Store évoque ce même problème, avec une légère nuance :

Nous avons eu connaissance, récemment, de la part de nos utilisateurs de problèmes de spam, provenant de Mobogénie.

Bien que notre intention ne soit pas la diffusion de spam publicitaires à nos utilisateurs, nous voulons, avant tout, nous excuser auprès de vous tous, pour la gêne occasionnée. Nous avons, à présent, identifié le problème technique avec l’un de nos partenaires promotionnels, et nous essayons de le résoudre dans les plus brefs délais.

Il semble donc que le problème persiste avec Mobogénie et ses partenaires promotionnels !

Quoi faire ?

La bonne nouvelle, avec ce type de malwares, est qu’il se repend grâce à un processus en 3 phases, et les 3 phases doivent êtres exécutées avec succès, pour permettre au virus d’être efficace.

Avec un antivirus décent et une application de sécurité installée, vous avez 3 fois plus de chance de gagner contre lui !

Par exemple, découvrez Sophos Mobile Security pour Android, en action :

De même, n’oubliez pas qu’en utilisant, en confiance, le Google Play Store, pour le téléchargement de logiciels pour Android, vous réduisez le risque d’infections par des applications douteuses.

Le Play Store n’est pas parfait, mais Google supervise, tout de même, un minimum, et a un mécanisme qui permet de tuer une application rétrospectivement, en l’éliminant, tout simplement, même si vous l’avez déjà téléchargée et installée.

Si vous voulez, ou avez besoin vraiment d’utiliser des solutions de ventes en ligne alternatives, essayez d’activer l’option : « Autoriser l’installation des applications provenant de sources inconnues», seulement quand cela est nécessaire, et désactivez là ensuite.

La fonction « Security Advisor », très pratique, dans l’antivirus Sophos, vous le rappellera si vous l’oubliez :

Billet inspiré de : “Anatomy of an Android SMS virus – watch out for text messages, even from your friends!” par Paul Ducklin de Naked Security.

Partagez “Virus Android : attention aux SMS de vos amis ! avec http://bit.ly/1qk0lej

Exit mobile version