Un malware Android utilise le réseau Tor pour couvrir ses traces
Un malware Android utilise le réseau Tor pour couvrir ses traces,
une structure évoque la variation d'un botnet qui existe déjà
Kaspersky a mis le doigt sur un malware Android qui fait usage du réseau anonyme Tor. Dans un billet sur le blog de l’entreprise, Roman Unuchek, expert en sécurité chez Kaspersky Lab, explique que le programme malveillant utilise un site de Tor qui se comporte comme serveur de commande et de contrôle.
En acheminant la connexion entre l'utilisateur et le site web à travers des milliers de serveurs à travers le monde, rendant ainsi le suivi des données envoyées via le réseau Tor extrêmement difficile. D’ailleurs, l’un des avantages à utiliser ce genre de site est que le «serveur de commande et de contrôle est impossible à arrêter» explique Roman Unuchek.
Le malware peut intercepter les SMS et recueillir d'autres données comme le numéro de téléphone, le code IMEI du terminal et sa localisation via la fonction GPS.
Baptisé « Backdoor.AndroidOS.Torec.a », le malware découvert par Kaspersky est une variante du client Orbot Tor. Il s'agit d'un package logiciel du projet Tor pour installer l'outil d'anonymisation sur les terminaux Android. «Le malware ne cherche pas à se faire passer pour Orbot pour amener les clients à le télécharger, mais utilise simplement la fonctionnalité du client Orbot», précise l'expert.
Le malware a aussi la possibilité d’envoyer des messages textes à des numéros premium qui pourraient revenir à 1 dollar le message. Dans une interview, Yuval Ben-Itzhak, Directeur Technique chez AVG Technologies, estime qu’il est «dix fois plus facile de se faire de l’argent sur smartphone depuis que celui-ci est rattaché à vos informations bancaires». Pour lui, l'époque où les pirates avaient besoin de subtiliser les informations relatives à votre carte de crédit pour les vendre en ligne ou les utiliser pour des transactions est désormais révolue. Une fois «mon malware installé sur votre téléphone mobile, je pourrais commencer à vous envoyer des messages textes premium et vous facturer 1 dollar le message, et la plupart du temps, [vous les consommateurs] n'allez pas le remarquer sur votre facture mensuelle puisqu’une si faible quantité ne modifie pas votre facture totale de beaucoup » explique-t-il.
Adam Kujawa, responsable de l'équipe Malware Intelligence chez Malwarebytes, indique que le malware découvert par Kaspersky est connu sous le nom de « Slempo » et qu'il s'agit d'une variation ou d'une évolution du botnet « Stoned Cat ».
«Nous vous recommandons de garder un œil sur les augmentations d'utilisation de données à partir de votre appareil mobile, des surconsommations d'énergie (la gestion d'une connexion constante TOR déchargera sans doute votre batterie plus rapidement qu’à l’accoutumée) et d'autres types de comportements étranges» écrit Kujawa.
Source : Blog Kaspersky, Blog Malwarebytes
Et vous ?
Qu'en pensez-vous ?
Répondre avec citation
Envoyé par Ben_H
Partager