Sécurité IT : Gunpoder s’habille en adware

L’éditeur américain Palo Alto Networks sonne l’alerte.

L’une de ses équipes ( « Unit 42 ») a découvert une nouvelle famille de logiciels malveillants évoluant sur Android.

Les 49 échantillons observés depuis novembre 2014 ont permis de déterminer trois variantes de ce malware baptisé Gunpoder et qui a la particularité de passer outre les principaux antivirus… tout en étant pourtant détecté.

Actif dans au moins 13 pays (Afrique du Sud, Arabie Saoudite, Brésil, Espagne, États-Unis, France, Inde, Indonésie, Irak, Italie, Mexique, Russie, Thaïlande), il se cache dans une application distribuée sur des places de marchés autres que Google Play.

L’auteur du malware a en fait réutilisé le code open source du programme Nesoid, qui permet d’émuler, sur les appareils Android, des jeux vidéo sortis dans les années 80 et 90 sur la console Nintendo Entertainment System (NES).

Les principales fonctionnalités de l’application d’origine ont d’ailleurs été reprises, avec néanmoins plusieurs « capacités additionnelles » : collecter des données, envoyer des SMS, afficher des publicités malveillantes ou encore exécuter des services annexes.

A la première ouverture de ce que l’utilisateur croit être un simple émulateur, un message apparaît, expliquant que l’application est financée par la publicité. Appuyer sur « OK » revient à autoriser la collecte d’informations via la librairie Airpush, très utilisée par les développeurs pour pousser de la publicité dans leurs applications mobiles.

Problème : les données récupérées ratissent très large. Elles incluent jusqu’à l’historique de navigation Web, les marque-page et les applications installées sur le terminal. Suffisamment pour cibler la victime et lui présenter, au moment opportun, un message en anglais très approximatif l’invitant à acquérir une licence « perpétuelle » à 0,29 ou 0,49 dollar.

Menace par SMS

Ce message apparaît aussi lorsqu’on appuie sur l’option « Cheats » (trucs et astuces), gratuite dans la version originale de Nesoid. De nombreux moyens de paiement sont acceptés, parmi lesquels PayPal, Skrill, Xsolla et CYPay.

Gunpoder affiche aussi régulièrement des publicités pour d’autres applications, avec une URL spécifique pour chaque pays (les liens relevés par Palo Alto Networks ne sont plus actifs aujourd’hui).

Certaines publicités sont plus pernicieuses. L’une d’entre elles imite une page Facebook et pousse l’utilisateur à répondre à un sondage, puis éventuellement à installer une application, en échange d’un cadeau.

Cette activité publicitaire vaut à Gunpoder d’être considéré par les antivirus comme un adware d’une « importance mineure ». Rien n’empêche ainsi son installation. Pas plus sa propagation, qui s’effectue par SMS, partout dans le monde à l’exception de la Chine – où se trouve sans doute l’auteur du malware.

Les SMS en question sont envoyés à tous les contacts présents dans le répertoire du téléphone. Ils contiennent une URL raccourcie via les services de Google. Leur envoi est déclenché soit lorsque l’application est mise en pause, soit au moment où l’utilisateur refuse le paiement. Deux phases pendant lesquelles la vigilance des solutions antivirus est souvent au minimum.

La première variante du malware (12 échantillons) associe la fonction SMS et la prise en charge des paiements électroniques. La deuxième (16 échantillons) ne peut pas envoyer de messages texte. La troisième, qui semble la plus récente, n’implémente aucune des deux fonctionnalités. Elle n’a pas la même signature que les deux autres, mais semble signée du même auteur, au regard de la structure du code, analysée par rétroingénierie.

Crédit photo : Capricorn Studio – Shutterstock.com