L’alerte a été donnée par des experts en sécurité de l’éditeur russe Dr. Web, après la découverte d’une soixantaine de jeux infectés par un malware au sein de Google Play.
La menace a été baptisée Android.Xiny.19.origin, est s’avère être un ver qui a été repéré par les chercheurs de Dr Web en fin de semaine dernière. Après analyse, ce dernier aurait été conçu pour communiquer avec un serveur de contrôle (C&C) distant via lequel les pirates qui en sont à l’origine sont capables d’envoyer des commandes sur les smartphones infectés.
Au total, ce sont une soixantaine de jeux présents sur Google Play qui sont infectés (environ 30 éditeurs différents). Les équipes de Google sont au courant et les applications visées sont en cours de suppression, même si certaines sont encore disponibles au téléchargement actuellement.
Lors de son implantation dans un smartphone, le ver envoie massivement des informations d’identification de l’appareil et de son utilisateur à un serveur distant. La technique est relativement discrète : le malware serait camouflé en sein d’une image de l’application, qu’il utilise ensuite pour télécharger un APK malveillant distant.
Le cheval de Troie peut alors réaliser un très longue liste d’actions plus ou moins malveillante sur l’appareil infecté, selon les droits qu’il détient. Quelques noms d’applications concernées ci-dessous :
- Temple Death Run
- Zombie Fire – Infected
- Zombie Crush Racing
- Battle City Gunner tournage
- Candy Gummy Match
- Extreme Runner Ninja
- Fou Bubble tournage
- Fou Bubble tournage 2
- Fou de Métro Rush 2
- Gangster Criminalité Moto Race
- Immobilier Snooker Billard 2
- Miami Haut Drag Racing GT 2016
- Moderne Bataille Sable Sniper
- Moderne Shooter Combat Command
- Pixel Robot Combat
- SOUS Fantasy Ride
- Shoot The Fruit
- Skaters 3D
- Sniper Shooter Death
- Trucker Duty 3D Simulator
- War Real Tanks 3D
- Fire Rescue Truck Simulator
- Goat Simulator 2015
- Hippo Simulator 3D
- Horse Run Champion
- Jurassic Shooter 3D
A noter que Google vient d’annoncer dans son bulletin de sécurité de février la correction de cinq vulnérabilités jugées, dont deux permettant d’exécuter du code à distance en exploitant des failles présentes au sein de Mediaserver ou du pilote Wi-Fi de Broadcom. Le patch a été communiqué aux partenaires, reste à voir quand il sera déployé par ces derniers…
Source : Clubic
Comment l’infection de ces applications a été réalisée ? Pour modifier le code d’une application il faut soit en être le développeur, soit avoir accès au dépo GooglePlay non ?
Les commentaires sont fermés.