Un premier malware Android à injection de code

La firme spécialisée dans la sécurité informatique Kaspersky Lab a identifié une nouvelle forme d'attaque visant les smartphones et autres appareils tournant sous Android. Le malware, un cheval de Troie, est particulièrement dangereux et il annonce une nouvelle ère pour les attaques contre l'OS mobile de Google : l'ère de l'injection de code.

Appelé Dvmap, il a été identifié en avril 2017 par la firme russe, qui a averti Google de cette nouvelle menace. L'application concernée a été supprimée du store, mais le malware a frappé plusieurs dizaines de milliers d'appareils.

Dvmap : le premier malware à injection de code pour Android


Le 8 juin 2017, Kaspersky a publié le rapport intégral sur cette nouvelle attaque sur le site SecureList. L'attaque y est détaillée mais aussi la nouvelle technique utilisée par Dvmap, qui s'avère être une première dans le domaine des attaques Android. Avant d'être supprimé par Google, le malware a été téléchargé près de 50.000 fois, sans qu'il soit possible de savoir combien de ces attaques ont été un succès.

Dvmap est un malware de type trojan qui s'attaque aux droits d'administration (root) d'Android. Ce n'est pas le premier malware à utiliser cette technique pour prendre le contrôle de l'appareil. Mais Dvmap innove, puisqu'il utilise, pour la première fois selon Kaspersky Lab, une injection de code malveillant dans les librairies Android.

botnet malware ban


Un contournement très simple de la sécurité du Play Store


Le malware adopte une nouvelle approche pour ne pas se faire repérer : une fois l'attaque visant les droits d'accès root d'Android réussie, il injecte dans les librairies lbdmv.so et libandroid_runtime.so du code malveillant, afin de se rendre invisible. Une technique identifiée pour la première fois de l'histoire chez Dvmap.

En outre, Kaspersky met en avant la technique utilisée par les pirates pour contourner la sécurité du Play Store de Google. Ils ont mis en ligne une version saine de leur application, "Colourblock", avant de la mettre à jour avec une version malveillante. Cette version n'est restée en ligne que durant une courte période, avant que la version saine ne la remplace à nouveau. Un procédé répété, selon Kaspersky, près de 5 fois en un mois.

Modifié le 09/06/2017 à 09h21
Commentaires