Viking Horde – Un jeu Android piégé par un malware

0
114

La société de sécurité CheckPoint a découvert une application piégée sur Google Play, permettant la propagation rapide du malware Viking Horde, dont le but est de générer des clics publicitaires frauduleux et de lancer des attaques DDoS depuis les smartphones infectés.

La menace est baptisée Viking Horde, en référence à Viking Jump, le jeu Android qui était présent sur le Google Play et qui était le vecteur de propagation du malware découvert par CheckPoint. Une fois de plus, la vigilance des équipes de vérification des applications de Google a été dupée… et pas qu’une fois, puisque les chercheurs ont pu faire le lien avec pas moins de 5 applications malveillantes servant à propager au maximum ce dernier : Viking Jump, Parrot Copter, WiFi Plus, Memory Booster et Simple 2048.

Viking-FamilyL’objectif de cette campagne malveillante est de générer des revenus via des clics frauduleux sur des annonces publicitaires. Dès lors qu’un utilisateur se sert d’une application infectée, le botnet intégré va se servir d’adresses IP proxy pour camoufler les clics sur les publicités, engendrant bien entendu des revenus faciles pour l’auteur du malware. Viking Horde va aussi plus loin et est en mesure de compromettre à distance la sécurité des données de l’appareil infecté et peux sur demande, réaliser des attaques DDoS ou des envois spams. Les smartphones rootés offrent encore plus de droits au malware qui s’avère être beaucoup plus coriace à détecter et supprimer.

Viking-Process

Seule consolation, la France semble avoir été épargnée par cette récente campagne. En effet, sur la base des données collectées à partir des nombreux serveurs de contrôle utilisés par les botnets repérés, CheckPoint a pu démontrer que la menace se concentre principalement en Russie (44%), en Espagne (12%), au Liban (10%), aux États-Unis et au Mexique (8% chacun), ainsi qu’en Arabie Saoudite (4%).

“Sur tous les appareils – en mode root ou non -, Viking Horde crée un botnet qui utilise des adresses IP derrière un proxy afin de déguiser des clics sur des annonces, ce qui génère des revenus pour l’attaquant. Sur les terminaux rootés (qui donnent ainsi accès aux droits administrateur, NDLR), Viking Horde distribue des malwares supplémentaires qui peuvent exécuter un code à distance, ce qui pourrait compromettre la sécurité des données sur le périphérique. Il tire également parti des privilèges d’accès pour rendre sa suppression à la main difficile, voire impossible.”, explique l’éditeur de sécurité sur son blog.

Google a évidemment été informé et a procédé à la suppression des applications incriminées, tout du moins, jusqu’à la prochaine vague !