Publié le  par Philippe  | Mis à jour le

Gunpoder : une nouvelle famille de Malware Android est découverte

Gunpoder : la nouvelle famille de Malware Android découverte par Palo Alto Networks

Une nouvelle famille de malware Android échappe à la détection des antivirus en exploitant les régies publicitaires connues. Baptisé "Gunpoder", ce malware  cible les utilisateurs Android de 13 pays dont la France. La famille des malware Gunpoder regroupe plusieurs activités typiques des adware. Toutefois, elle véhicule aussi plusieurs fonctionnalités malveillantes, notamment la collecte d'informations personnelles très sensibles, la propagation par messages SMS et la capacité à exécuter d'autres charges utiles.

L'UNIT42 révèle une nouvelle famille de Malware Android

  • L'Unit 42, l'équipe de lutte contre les menaces et les virus de Palo Alto Networks, a découvert une nouvelle famille de malware Android qui a réussi à échapper à tous les logiciels antivirus sur le service Web VirusTotal. L'équipe Unit 42 a observé 49 échantillons différents issus de trois variantes. Cette découverte montre à quel point est ténue la ligne de démarcation entre les "adware," qui ne sont normalement pas interceptés par les antivirus, et les malware, qui ont une capacité à nuire.
  •  
  • Des échantillons de Gunpoder ont été envoyés à VirusTotal depuis novembre 2014, mais tous les moteurs d'antivirus le considèrent comme "bénin" ou comme un "adware". En d'autres termes, les contrôles existants ne peuvent pas empêcher l'installation de ce malware. En étudiant l'échantillon, l'UNIT42  s'est aperçu qu'il incorporait d'ailleurs une régie d'adware connue, il était aussi responsable de plusieurs activités délibérément malveillantes. Celles-ci, dont la liste figure ci-dessous, permettent à notre avis de classifier cette famille comme un malware :
  •  
  • - Collecte des informations sensibles des utilisateurs
  • - Propagation par message SMS
  • - Envoi potentiel par notification push de publicités frauduleuses
  • - Capacité à exécuter des charges utiles supplémentaires
  •  
  • Gunpoder cible les utilisateurs Android dans au moins 13 pays : Irak, Thaïlande, Inde, Indonésie, Afrique du sud, Russie, France, Mexique, Brésil, Arabie saoudite, Italie, Etats-Unis et Espagne. L'examen de Gunpoder par rétroingénierie montre que sa propagation épargne les utilisateurs résidant en Chine.
  •  
  • Unit 42 a étudié Gunpoder en se basant sur les données fournies par le service AutoFocus de Palo Alto Networks. Palo Alto Networks a publié des signatures correspondant à la famille des malware Gunpoder. Les utilisateurs de WildFire, Threat Prevention et Mobile Security Manager sont protégés contre Gunpoder.

Des stratagèmes pour éviter la détection

L'examen des échantillons de Gunpoder par rétroingénierie nous ont révélé que le créateur du malware appliquait plusieurs techniques spéciales pour échapper à la détection des antivirus. Les échantillons comprennent des régies publicitaires agressives, telles qu'Airpush. Ces régies sont détectées sans difficulté et ont parfois des comportements agressifs. Gunpoder sait les utiliser très adroitement pour masquer les comportements agressifs et éviter leur détection par les moteurs antivirus. Les antivirus déterminent ainsi que Gunpoder est un adware, mais comme ils ne le classifient pas comme délibérément malveillant, ils n'empêchent en général pas son exécution.

Les utilisateurs ayant exécuté Gunpoder voient s'afficher une notification comprenant la régie Airpush. Nous pensons que cette notification a été ajoutée volontairement pour utiliser Airpush comme bouc émissaire.

Les échantillons Gunpoder incorporent du code malveillant dans les jeux populaires d'émulation NES (Nintendo Entertainment System), qui sont basés sur une structure de jeu open source. Palo Alto Networks a en effet observé que les créateurs de malware ont pris l'habitude de reconditionner des applications Android open source en leur intégrant du code malveillant. Gunpoder met à profit cette technique, qui rend difficile la détection de code malveillant lors d'une analyse statique.

Gunpoder cible des utilisateurs résidant hors de Chine. Les échantillons étudiés prennent en charge les paiements en ligne, notamment PayPal, Skrill, Xsolla et CYPay.


 

Gunpoder : une nouvelle famille de Malware Android est découverte

 
 

 
 
 
 
Un malware ciblant Android permet l'infiltration des réseaux et des applications d'entreprise

Un malware ciblant Android permet l'infiltration des réseaux et des applications d'entreprise

Zimperium, qui est unfournisseur mondial de solutions de sécurité mobile, a découvert une nouvelle menace lors d'une analyse de routine. Un malware a été identifié dans plus de 105 000 échantillons, à travers plus de ... 

04 septembre 2024
Un malware sévit sur les services d'accessibilité sur Android et iOS

Un malware sévit sur les services d'accessibilité sur Android et iOS

Les services d'accessibilité permettent notamment aux personnes en situation de handicap (malvoyant, malentendant…) d'utiliser leur smartphone simplement malgré leur handicap. Sur Android et iOS, les ... 

14 novembre 2022
Android : une nouvelle faille de sécurité permet d'installer un malware via le Bluetooth

Android : une nouvelle faille de sécurité permet d'installer un malware via le Bluetooth

Le système d'exploitation Android rencontre encore à nouveau des problèmes de sécurité. Google vient de publier un correctif concernant une faille critique dans le sous-système Bluetooth d'Android permettant ... 

14 février 2020
Malware Android, une faille repérée permet de pirater les comptes bancaires

Malware Android, une faille repérée permet de pirater les comptes bancaires

Promon, un partenaire de Lookout vient de signaler une vulnérabilité dans l'OS Android qui permet à une application d'afficher une activité dans le contexte de l'interface utilisateur d'une autre ... 

07 janvier 2020
Android : 49 applications infectées par un malware sur le Google Play Store

Android : 49 applications infectées par un malware sur le Google Play Store

Le Play Store est à nouveau la cible d'un nouveau malware publicitaire. Lees chercheurs en informatique de la société TrendMicro viennent de découvrir un malware publicitaire dans 49 applications sur le Play Store de ... 

14 novembre 2019
Comparateurs
 
 
 
 
Retrouvez tous nos comparateurs complets...
Recherche sur plus de 30 critères : prix, nouveauté, poids, taille, opérateur, marque, etc....
PUBLICITÉ
RECHERCHER