Gunpoder : le nouveau malware Android caché dans un émulateur de jeux NES

 
Un nouveau malware (logiciel malveillant) vient d’être découvert sous Android. Sa principale force est de réussir à passer outre les systèmes de sécurité grâce à son comportement plutôt ingénieux. Le risque pour les victimes : le vol de certaines données personnelles et un faible préjudice financier.
malwaredriodplaystore

Habituellement, les logiciels malveillants sous Android réussissent à être repérés par la plupart des solutions de sécurité. Mais le dernier en date, Gunpoder – découvert par l’Unit 42 en utilisant les services des Palo Alto Networks – a nécessité des recherches supplémentaires pour être découvert. Le malware est en fait dans la nature depuis au moins le mois de novembre 2014. Il a été intégré dans un émulateur de jeux NES avec Mario installé par défaut. Gunpoder a été configuré pour récupérer certaines données du téléphone, se propager par SMS, tromper l’utilisateur avec de fausses pubs et réaliser des paiements.

En fait, Gunpoder se sert de la librairie Airpush (une plateforme mobile de publicité) pour cacher son comportement malveillant. Ainsi, les systèmes de sécurité ne voient pas le malware à cause du comportement d’Airpush, déjà à la limite du correct. Toute la partie émulation repose sur un framework open source qui n’a pas été modifié pour l’occasion. Une fois que l’utilisateur lance le jeu, l’application demande un paiement de 0,29 ou 0,49 dollar pour débloquer la licence à vie. Si l’utilisateur refuse de le faire immédiatement, l’application lui propose alors d’envoyer le lien de téléchargement du jeu à un ami par SMS. Le malware commence alors sa propagation. Le logiciel a également la possibilité d’envoyer lui même des SMS en tâche de fond, quand le jeu est mis en pause par l’utilisateur, expliquant alors la difficulté pour les systèmes de sécurité de détecter un comportement indésirable. Enfin, Gunpoder affiche des publicités intempestives en forçant l’utilisateur à cliquer dessus, grâce à un design ressemblant à une page Facebook.

Le malware semble provenir de Chine puisque le logiciel a été configuré pour s’activer uniquement en dehors de Chine. Heureusement, l’application n’est pas disponible sur le Play Store (elle n’aurait sûrement pas passé les étapes de validation) mais sur des boutiques d’applications alternatives comme www.aptoide.com et www.mgccw.com


Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.