Geinimi : un malware pour Android aux capacités de botnet
La marche des téléphones zombies
Lorsque l’on parle de sécurité, on retrouve toujours l’éternel débat : dans quelles proportions les parts de marché et donc le succès d’un produit influent-ils sur le risque de voir arriver des malwares ? Android représente dans tous les cas la plateforme montante actuelle, sa souplesse lui permettant d’être utilisé sur...Lorsque l’on parle de sécurité, on retrouve toujours l’éternel débat : dans quelles proportions les parts de marché et donc le succès d’un produit influent-ils sur le risque de voir arriver des malwares ? Android représente dans tous les cas la plateforme montante actuelle, sa souplesse lui permettant d’être utilisé sur bien des appareils différents. Selon l’éditeur Lookout, un malware réellement très sérieux se balade actuellement en territoire chinois : Geinimi.
Selon le blog de Lookout, il s’agit de la vraie première menace sérieuse qui pèse sur Android depuis son arrivée. Il s’agit en effet d’un malware « mobile », mais Geinimi a tout d’un grand. Il peut en effet :
Mais comment Geinimi vient s’installer sur les smartphones Android ? Lookout explique :
« Geinimi est effectivement greffé sur des versions repackagées d’applications légitimes, essentiellement des jeux, et distribuées sur des boutiques en ligne tierces chinoises. Les applications ainsi affectées demandent des droits étendus qui vont plus loin que celles demandées par les versions d’origine des applications légitimes. Bien que l’intention de ce troyen ne soit pas entièrement claire, les possibilités d’intention vont du réseau publicitaire malveillant à la tentative de créer un botnet Android ».
Lors de sa première exécution, Geinimi a déjà collecté une somme conséquente de données, dont les coordonnées géographiques ainsi que les identifiants uniques du téléphone. À intervalles réguliers de cinq minutes, Geinimi tente de se connecter à un serveur distant, dont l’adresse est piochée dans une liste interne de dix références. On retrouve ainsi les domaines www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com ou encore www.piajesj.com. En cas de connexion réussie, les données sont envoyées.
Lookout signale que l’ensemble des propriétés de ce malware en font une première, notamment par les auteurs ont manifestement fait des efforts pour que Geinimi masque ses activités (obfuscation). En outre, une bonne partie des données contenant les commandes est chiffrée. L’éditeur indique que ces techniques n’ont pas causé de vrai problème, mais qu’elles ont revanche fait grimper la barre en ce qui concerne les analyses.
La menace serait pour l’instant essentiellement cantonnée à la Chine, mais Lookout n’interdit pas la présence de Geinimi dans d’autres boutiques tierces. Toujours selon l’éditeur, aucun signe de la présence de ce malware n’a été relevé dans l’Android Market officiel. Et de rappeler les règles de base pour se préserver de ce genre de mésaventure :
Selon le blog de Lookout, il s’agit de la vraie première menace sérieuse qui pèse sur Android depuis son arrivée. Il s’agit en effet d’un malware « mobile », mais Geinimi a tout d’un grand. Il peut en effet :
- Envoyer les coordonnées de géolocalisation
- Envoyer l’identifiant du téléphone (IMEI ou IMSI)
- Télécharger une application et demander à l’utilisateur de l’installer
- Demander à l’utilisateur de désinstaller une application
- Dresser une liste des applications installées et l’envoyer
Mais comment Geinimi vient s’installer sur les smartphones Android ? Lookout explique :
« Geinimi est effectivement greffé sur des versions repackagées d’applications légitimes, essentiellement des jeux, et distribuées sur des boutiques en ligne tierces chinoises. Les applications ainsi affectées demandent des droits étendus qui vont plus loin que celles demandées par les versions d’origine des applications légitimes. Bien que l’intention de ce troyen ne soit pas entièrement claire, les possibilités d’intention vont du réseau publicitaire malveillant à la tentative de créer un botnet Android ».
Lors de sa première exécution, Geinimi a déjà collecté une somme conséquente de données, dont les coordonnées géographiques ainsi que les identifiants uniques du téléphone. À intervalles réguliers de cinq minutes, Geinimi tente de se connecter à un serveur distant, dont l’adresse est piochée dans une liste interne de dix références. On retrouve ainsi les domaines www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com ou encore www.piajesj.com. En cas de connexion réussie, les données sont envoyées.
Lookout signale que l’ensemble des propriétés de ce malware en font une première, notamment par les auteurs ont manifestement fait des efforts pour que Geinimi masque ses activités (obfuscation). En outre, une bonne partie des données contenant les commandes est chiffrée. L’éditeur indique que ces techniques n’ont pas causé de vrai problème, mais qu’elles ont revanche fait grimper la barre en ce qui concerne les analyses.
La menace serait pour l’instant essentiellement cantonnée à la Chine, mais Lookout n’interdit pas la présence de Geinimi dans d’autres boutiques tierces. Toujours selon l’éditeur, aucun signe de la présence de ce malware n’a été relevé dans l’Android Market officiel. Et de rappeler les règles de base pour se préserver de ce genre de mésaventure :
- Ne télécharger des applications que depuis les boutiques sûres, notamment celles où l’on peut lire le nom de l’éditeur, les critiques et la note en étoiles
- Toujours vérifier les permissions accordées à une application. Le sens commun devrait permettre de bien vérifier que les permissions demandées correspondent aux vrais besoin de l’application.
- Surveiller tout comportement étrange du téléphone, comme la présence d’applications non demandées, l’envoi automatique de SMS à des destinataires inconnus ou des appels lancés sans intervention de l’utilisateur.
Source :
Lookout
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 30 décembre 2010 à 16:39
(22 850
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 32 commentaires
INpactien
Android avec son système de droit "clair" est quand même justement "top" niveau sécurité. 
Maintenant quand on voit que certaines application de fond d'écran demande une autorisation pour passer des appels payants ou SMS surtaxé....
Maintenant quand on voit que certaines application de fond d'écran demande une autorisation pour passer des appels payants ou SMS surtaxé....
INpactien
Hum, moi je trouve dommage le nouveau market qui rends moins évident les restrictions. Avant quand tu installais, tu avais directement les besoins du programme (GPS, etc), maintenant tu as juste "OK", et rien de plus.
Ou alors j'ai mal vu :/
Ou alors j'ai mal vu :/
INpactien
Hum, moi je trouve dommage le nouveau market qui rends moins évident les restrictions. Avant quand tu installais, tu avais directement les besoins du programme (GPS, etc), maintenant tu as juste "OK", et rien de plus.
Ou alors j'ai mal vu :/
Ou alors j'ai mal vu :/
T'as mal vu.
Modérateur
Hum, moi je trouve dommage le nouveau market qui rends moins évident les restrictions. Avant quand tu installais, tu avais directement les besoins du programme (GPS, etc), maintenant tu as juste "OK", et rien de plus.
Ou alors j'ai mal vu :/
Ou alors j'ai mal vu :/
C'est marqué dans la zone en bas, mais c'est sur que c'est pas super clair
INpactien
Ce qui serait top c'est une charte graphique plus visible en fonction des autorisations.
Certaines en gris clair, d'autres en rouges, par exemple.
Certaines en gris clair, d'autres en rouges, par exemple.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 32 commentaires
-
Libération annonce l'arrivée de son nouveau site
(19)
Le paywall dans la foulée -
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(23)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable pendant 4 heures -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
