Publié le  par Philippe  | Mis à jour le

Gunpoder : une nouvelle famille de Malware Android est découverte

Gunpoder : la nouvelle famille de Malware Android découverte par Palo Alto Networks

Une nouvelle famille de malware Android échappe à la détection des antivirus en exploitant les régies publicitaires connues. Baptisé "Gunpoder", ce malware  cible les utilisateurs Android de 13 pays dont la France. La famille des malware Gunpoder regroupe plusieurs activités typiques des adware. Toutefois, elle véhicule aussi plusieurs fonctionnalités malveillantes, notamment la collecte d'informations personnelles très sensibles, la propagation par messages SMS et la capacité à exécuter d'autres charges utiles.

L'UNIT42 révèle une nouvelle famille de Malware Android

  • L'Unit 42, l'équipe de lutte contre les menaces et les virus de Palo Alto Networks, a découvert une nouvelle famille de malware Android qui a réussi à échapper à tous les logiciels antivirus sur le service Web VirusTotal. L'équipe Unit 42 a observé 49 échantillons différents issus de trois variantes. Cette découverte montre à quel point est ténue la ligne de démarcation entre les "adware," qui ne sont normalement pas interceptés par les antivirus, et les malware, qui ont une capacité à nuire.
  •  
  • Des échantillons de Gunpoder ont été envoyés à VirusTotal depuis novembre 2014, mais tous les moteurs d'antivirus le considèrent comme "bénin" ou comme un "adware". En d'autres termes, les contrôles existants ne peuvent pas empêcher l'installation de ce malware. En étudiant l'échantillon, l'UNIT42  s'est aperçu qu'il incorporait d'ailleurs une régie d'adware connue, il était aussi responsable de plusieurs activités délibérément malveillantes. Celles-ci, dont la liste figure ci-dessous, permettent à notre avis de classifier cette famille comme un malware :
  •  
  • - Collecte des informations sensibles des utilisateurs
  • - Propagation par message SMS
  • - Envoi potentiel par notification push de publicités frauduleuses
  • - Capacité à exécuter des charges utiles supplémentaires
  •  
  • Gunpoder cible les utilisateurs Android dans au moins 13 pays : Irak, Thaïlande, Inde, Indonésie, Afrique du sud, Russie, France, Mexique, Brésil, Arabie saoudite, Italie, Etats-Unis et Espagne. L'examen de Gunpoder par rétroingénierie montre que sa propagation épargne les utilisateurs résidant en Chine.
  •  
  • Unit 42 a étudié Gunpoder en se basant sur les données fournies par le service AutoFocus de Palo Alto Networks. Palo Alto Networks a publié des signatures correspondant à la famille des malware Gunpoder. Les utilisateurs de WildFire, Threat Prevention et Mobile Security Manager sont protégés contre Gunpoder.

Des stratagèmes pour éviter la détection

L'examen des échantillons de Gunpoder par rétroingénierie nous ont révélé que le créateur du malware appliquait plusieurs techniques spéciales pour échapper à la détection des antivirus. Les échantillons comprennent des régies publicitaires agressives, telles qu'Airpush. Ces régies sont détectées sans difficulté et ont parfois des comportements agressifs. Gunpoder sait les utiliser très adroitement pour masquer les comportements agressifs et éviter leur détection par les moteurs antivirus. Les antivirus déterminent ainsi que Gunpoder est un adware, mais comme ils ne le classifient pas comme délibérément malveillant, ils n'empêchent en général pas son exécution.

Les utilisateurs ayant exécuté Gunpoder voient s'afficher une notification comprenant la régie Airpush. Nous pensons que cette notification a été ajoutée volontairement pour utiliser Airpush comme bouc émissaire.

Les échantillons Gunpoder incorporent du code malveillant dans les jeux populaires d'émulation NES (Nintendo Entertainment System), qui sont basés sur une structure de jeu open source. Palo Alto Networks a en effet observé que les créateurs de malware ont pris l'habitude de reconditionner des applications Android open source en leur intégrant du code malveillant. Gunpoder met à profit cette technique, qui rend difficile la détection de code malveillant lors d'une analyse statique.

Gunpoder cible des utilisateurs résidant hors de Chine. Les échantillons étudiés prennent en charge les paiements en ligne, notamment PayPal, Skrill, Xsolla et CYPay.


 

Gunpoder : une nouvelle famille de Malware Android est découverte

 
 

 
 
 
 
Android : une nouvelle faille de sécurité permet d'installer un malware via le Bluetooth

Android : une nouvelle faille de sécurité permet d'installer un malware via le Bluetooth

Le système d'exploitation Android rencontre encore à nouveau des problèmes de sécurité. Google vient de publier un correctif concernant une faille critique dans le sous-système Bluetooth d'Android permettant ... 

14 février 2020
Malware Android, une faille repérée permet de pirater les comptes bancaires

Malware Android, une faille repérée permet de pirater les comptes bancaires

Promon, un partenaire de Lookout vient de signaler une vulnérabilité dans l'OS Android qui permet à une application d'afficher une activité dans le contexte de l'interface utilisateur d'une autre ... 

07 janvier 2020
Android : 49 applications infectées par un malware sur le Google Play Store

Android : 49 applications infectées par un malware sur le Google Play Store

Le Play Store est à nouveau la cible d'un nouveau malware publicitaire. Lees chercheurs en informatique de la société TrendMicro viennent de découvrir un malware publicitaire dans 49 applications sur le Play Store de ... 

14 novembre 2019
Android : le malware Anubis est de retour pour piller votre compte bancaire depuis votre smartphone

Android : le malware Anubis est de retour pour piller votre compte bancaire depuis votre smartphone

Depuis plus d'un an, le virus nommé Anubis se propage sur le Play store de Google par le biais de diverses applications jugées inoffensives afin de tenter de vous dépouiller. Ce malware se cache dans les applications des smartphones ... 

16 juillet 2019
Un malware vole 1000 euros sous Android sur les comptes Paypal

Un malware vole 1000 euros sous Android sur les comptes Paypal

Les chercheurs de l'entreprise de sécurité informatique ESET viennent d'indiquer qu'une application Android contient un malware demandant à l'utilisateur d'activer un service d'accessibilité sur le compte Paypal. Ce cheval de Troie ... 

19 décembre 2018
Comparateurs
 
 
 
 
Retrouvez tous nos comparateurs complets...
Recherche sur plus de 30 critères : prix, nouveauté, poids, taille, opérateur, marque, etc....
PUBLICITÉ
RECHERCHER