Accueil Sécurité Obad.a, un cheval de Troie qui se répand via des botnets mobile

Obad.a, un cheval de Troie qui se répand via des botnets mobile

Kaspersky Lab a étudié le mode de propagation du cheval de Troie Obad.a, une application malveillante détectée sur Android. Il apparaît que les criminels qui se cachent derrière ce cheval de Troie ont adopté une technique inédite pour répandre leur malware. En effet, celui-ci se propage par le biais de botnets contrôlés par d’autres groupes criminels, ce qui est, selon Kaspersky Lab, est une première dans l’histoire de la cybercriminalité visant les terminaux mobiles. Obad.a se retrouve principalement dans les pays de la CEI (ex-URSS). Au total, 83% des tentatives d’infections ont été enregistrées en Russie, tandis que d’autres ont également été détectées sur des équipements mobiles en Ukraine, au Bélarus, en Ouzbékistan et au Kazakhstan.

Le modèle de diffusion le plus intéressant consiste en la propagation de diverses versions de Obad.a avec SMS.AndroidOS.Opfake.a. Cette double tentative d’infection commence par l’envoi d’un texto demandant au destinataire de télécharger un message reçu récemment. Si la victime clique sur le lien fourni, un fichier contenant Opfake.a se télécharge automatiquement sur son smartphone ou sa tablette.

Le fichier malveillant ne peut s’installer seulement si l’utilisateur le lance : dans ce cas, le cheval de Troie envoie d’autres messages à tous les contacts figurant sur le terminal qu’il vient d’infecter. Le fait de cliquer sur le lien contenu dans ces messages déclenche le téléchargement de Obad.a. Le système est parfaitement organisé : un opérateur de réseau mobile russe a signalé plus de 600 messages de ce type en l’espace de cinq heures, à peine, ce qui révèle une diffusion de masse. Dans la plupart des cas, le malware s’est propagé à partir d’appareils déjà contaminés.

En dehors des botnets mobiles, ce cheval de Troie, d’une grande complexité, est également diffusé par l’intermédiaire de spams. Typiquement, un message avertissant le destinataire de l’existence d’une « dette » impayée incite celui-ci à suivre un lien qui va télécharger automatiquement Obad.a sur son mobile. Là encore, il faut que l’utilisateur ouvre le fichier téléchargé pour que le cheval de Troie s’installe.

De fausses boutiques d’applications propagent également Backdoor.AndroidOS.Obad.a. Elles imitent le contenu de pages Google Play, remplaçant les liens authentiques par d’autres, malveillants. Lorsque des sites légitimes sont piratés et leurs utilisateurs redirigés vers des sites dangereux, Obad.a cible exclusivement les mobiles : si les victimes potentielles arrivent sur le site à partir d’un ordinateur, rien ne se passe. En revanche, les smartphones et tablettes, quelle que soit leur plate-forme, sont en danger.

Obad.a, which uses a large number of unpublished vulnerabilities, is more like Windows malware than other Trojans for Android,” said Roman Unuchek, a leading antivirus expert at Kaspersky Lab.

« En trois mois, nous avons découvert 12 versions de Backdoor.AndroidOS.Obad.a. Toutes présentent le même jeu de fonctionnalités et un degré élevé de masquage du code. Aussi, chacune utilise une vulnérabilité d’Android OS qui confère au malware les droits DeviceAdministrator et le rend bien plus difficile à éliminer. Dès que nous avons fait cette découverte, nous en avons informé Google et la faille en question a été corrigée dans Android 4.3. Cependant, seuls quelques modèles récents de smartphones et de tablettes sont dotés de cette version et les appareils plus anciens restent menacés. Obad.a, qui exploite un grand nombre de vulnérabilités non publiées, se comporte davantage comme un malware Windows qu’à d’autres chevaux de Troie pour Android », explique encore Roman Unuchek, expert en antivirus chez Kaspersky Lab.