Un premier malware Android à injection de code

le 09 juin 2017 à 10h55
0
La firme spécialisée dans la sécurité informatique Kaspersky Lab a identifié une nouvelle forme d'attaque visant les smartphones et autres appareils tournant sous Android. Le malware, un cheval de Troie, est particulièrement dangereux et il annonce une nouvelle ère pour les attaques contre l'OS mobile de Google : l'ère de l'injection de code.

Appelé Dvmap, il a été identifié en avril 2017 par la firme russe, qui a averti Google de cette nouvelle menace. L'application concernée a été supprimée du store, mais le malware a frappé plusieurs dizaines de milliers d'appareils.

Dvmap : le premier malware à injection de code pour Android



Le 8 juin 2017, Kaspersky a publié le rapport intégral sur cette nouvelle attaque sur le site SecureList. L'attaque y est détaillée mais aussi la nouvelle technique utilisée par Dvmap, qui s'avère être une première dans le domaine des attaques Android. Avant d'être supprimé par Google, le malware a été téléchargé près de 50.000 fois, sans qu'il soit possible de savoir combien de ces attaques ont été un succès.

Dvmap est un malware de type trojan qui s'attaque aux droits d'administration (root) d'Android. Ce n'est pas le premier malware à utiliser cette technique pour prendre le contrôle de l'appareil. Mais Dvmap innove, puisqu'il utilise, pour la première fois selon Kaspersky Lab, une injection de code malveillant dans les librairies Android.

01F4000008315104-photo-botnet-malware-ban.jpg


Un contournement très simple de la sécurité du Play Store



Le malware adopte une nouvelle approche pour ne pas se faire repérer : une fois l'attaque visant les droits d'accès root d'Android réussie, il injecte dans les librairies lbdmv.so et libandroid_runtime.so du code malveillant, afin de se rendre invisible. Une technique identifiée pour la première fois de l'histoire chez Dvmap.

En outre, Kaspersky met en avant la technique utilisée par les pirates pour contourner la sécurité du Play Store de Google. Ils ont mis en ligne une version saine de leur application, "Colourblock", avant de la mettre à jour avec une version malveillante. Cette version n'est restée en ligne que durant une courte période, avant que la version saine ne la remplace à nouveau. Un procédé répété, selon Kaspersky, près de 5 fois en un mois.

Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Microsoft vaut maintenant 1 billion de dollars
⚡ Fnac : Notre sélection de produits Marvel à l'occasion de la sortie d'Avengers : Endgame
Google évite son redressement fiscal de plus d'un milliard d'euros
Comparatif 2019 : notre sélection des meilleures souris gamer
Galaxy Fold : Samsung force iFixit à dépublier son article de démontage
Nintendo : la Switch
Samsung : 116 milliards de dollars pour prendre le pas sur Intel
Mario Kart Tour : le jeu en bêta sur smartphone dans quelques semaines
Plus de sang, plus de cadavre : la Chine étrangle un peu plus le jeu vidéo
Ordinateurs portables : Apple remporte une nouvelle fois la palme du meilleur service client
LG suspend la production de smartphones haut de gamme en Corée
🎯 French Days 2019 : les bons plans immanquables du vendredi
Anthem : en difficulté, BioWare met sa feuille de route en pause pour réparer son jeu
Brave lance la première régie publicitaire centrée sur le respect de la vie privée
Meizu lance le 16s : un smartphone ultra premium à prix cassé
scroll top