Un nouveau cheval de Troie Android pourrait voler vos données via des applications de messagerie instantanée mobiles telles que Facebook Messenger, Twitter, Skype et d'autres clients de messagerie instantanée.
Ce malware a été détecté par des chercheurs en sécurité de Trustlook, une entreprise de cyber-sécurité. Un rapport publié lundi décrit le nouveau cheval de Troie comme un simple avec peu de capacités.
Après avoir infecté l'application, le cheval de Troie tente de modifier le fichier "/system/etc/install-recovery.sh" pour permettre son exécution, chaque fois que l'application est ouverte.
Il semble que l'objectif principal de ce malware est de voler des données à partir d'applications de messagerie, qui est ensuite téléchargé sur un serveur distant. Le cheval de Troie récupère l'adresse IP de ce serveur à partir d'un fichier de configuration local.
Voici la liste des applications qui pourraient être affectées par ce malware:
- Facebook Messenger
- Gazouillement
- Skype
- Télégramme Messenger
- Tencent WeChat
- Viber
- Voxer Talkie Walkie Messenger
- Appel magique de Gruveo
- Ligne
- coco
- BeeTalk
- TalkBox Voice Messenger
- Momo
Bien qu'il ait une conception simple et un accent particulier sur l'extraction de données de messagerie instantanée, ce logiciel malveillant utilise des techniques d'évasion avancées.
Selon Trustlook Labs, ce cheval de Troie obscurcit son fichier de configuration et une partie de ses modules pour éviter la détection, ce qui rend difficile la détection d'un logiciel anti-virus.
Il utilise des techniques de détection d'anti-émulateur et de débogage pour échapper à l'analyse dynamique et est capable de cacher des chaînes dans son code source pour empêcher toute tentative d'inversion de code.
Puisque le Trojan Android a un seul objectif (voler des données), il est tout à fait possible que ses auteurs tentent de collecter des données sensibles à travers des conversations privées, des images et des vidéos qui pourraient être utilisées plus tard pour l'extorsion.
Bien qu'il ne soit pas clair sur la façon dont ce malware est distribué, les chercheurs de Trustlab ont repéré ce malware dans une application chinoise nommée Cloud Module avec le nom de paquet com.android.boxa.
Étant donné que le malware a un nom chinois et l'indisponibilité de Play Store en Chine, les logiciels malveillants diffusent probablement cette application infectieuse via des liens sur les forums d'applications Android ou les boutiques d'applications tierces.
Source : fossbytes.com/
Suivez ce Blog : Newsletter ; mon blog
Commenter cet article