Pour gérer vos consentements :

Sécurité IT : Gunpoder s’habille en adware

L’éditeur américain Palo Alto Networks sonne l’alerte.

L’une de ses équipes ( « Unit 42 ») a découvert une nouvelle famille de logiciels malveillants évoluant sur Android.

Les 49 échantillons observés depuis novembre 2014 ont permis de déterminer trois variantes de ce malware baptisé Gunpoder et qui a la particularité de passer outre les principaux antivirus… tout en étant pourtant détecté.

Actif dans au moins 13 pays (Afrique du Sud, Arabie Saoudite, Brésil, Espagne, États-Unis, France, Inde, Indonésie, Irak, Italie, Mexique, Russie, Thaïlande), il se cache dans une application distribuée sur des places de marchés autres que Google Play.

L’auteur du malware a en fait réutilisé le code open source du programme Nesoid, qui permet d’émuler, sur les appareils Android, des jeux vidéo sortis dans les années 80 et 90 sur la console Nintendo Entertainment System (NES).

Les principales fonctionnalités de l’application d’origine ont d’ailleurs été reprises, avec néanmoins plusieurs « capacités additionnelles » : collecter des données, envoyer des SMS, afficher des publicités malveillantes ou encore exécuter des services annexes.

A la première ouverture de ce que l’utilisateur croit être un simple émulateur, un message apparaît, expliquant que l’application est financée par la publicité. Appuyer sur « OK » revient à autoriser la collecte d’informations via la librairie Airpush, très utilisée par les développeurs pour pousser de la publicité dans leurs applications mobiles.

Problème : les données récupérées ratissent très large. Elles incluent jusqu’à l’historique de navigation Web, les marque-page et les applications installées sur le terminal. Suffisamment pour cibler la victime et lui présenter, au moment opportun, un message en anglais très approximatif l’invitant à acquérir une licence « perpétuelle » à 0,29 ou 0,49 dollar.

Menace par SMS

Ce message apparaît aussi lorsqu’on appuie sur l’option « Cheats » (trucs et astuces), gratuite dans la version originale de Nesoid. De nombreux moyens de paiement sont acceptés, parmi lesquels PayPal, Skrill, Xsolla et CYPay.

Gunpoder affiche aussi régulièrement des publicités pour d’autres applications, avec une URL spécifique pour chaque pays (les liens relevés par Palo Alto Networks ne sont plus actifs aujourd’hui).

Certaines publicités sont plus pernicieuses. L’une d’entre elles imite une page Facebook et pousse l’utilisateur à répondre à un sondage, puis éventuellement à installer une application, en échange d’un cadeau.

Cette activité publicitaire vaut à Gunpoder d’être considéré par les antivirus comme un adware d’une « importance mineure ». Rien n’empêche ainsi son installation. Pas plus sa propagation, qui s’effectue par SMS, partout dans le monde à l’exception de la Chine – où se trouve sans doute l’auteur du malware.

Les SMS en question sont envoyés à tous les contacts présents dans le répertoire du téléphone. Ils contiennent une URL raccourcie via les services de Google. Leur envoi est déclenché soit lorsque l’application est mise en pause, soit au moment où l’utilisateur refuse le paiement. Deux phases pendant lesquelles la vigilance des solutions antivirus est souvent au minimum.

La première variante du malware (12 échantillons) associe la fonction SMS et la prise en charge des paiements électroniques. La deuxième (16 échantillons) ne peut pas envoyer de messages texte. La troisième, qui semble la plus récente, n’implémente aucune des deux fonctionnalités. Elle n’a pas la même signature que les deux autres, mais semble signée du même auteur, au regard de la structure du code, analysée par rétroingénierie.

Crédit photo : Capricorn Studio – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago