Nous vous parlions de ce virus l’année dernière comme étant le plus rentable et le plus répandu de tous les temps. Nous avons cru comme beaucoup à son extinction mais voici qu’il resurgit qui plus est en ayant évolué. Baptisé HummingWhale, il s’est invité sur le Play Store de Google et fonctionne avec une machine virtuelle.
Classé dans la liste des malwares les plus lucratifs avec 85 millions d’appareils Android compromis pour un revenu mensuel estimé à 300.000 dollars en publicités frauduleuses, ce virus a délibérément choqué le monde de la cyber-sécurité. Il comptait ainsi pour 72% des attaques pour le premier semestre 2016 et occupait la quatrième place des malwares les plus actifs au niveau mondial, selon Check Point.
Mais voici qu’il revient et cela est plutôt une mauvaise nouvelle car cela veut dire qu’il n’est pas mort, c’est même le contraire il a muté et évolué. Ce sont encore une fois les experts de Check point qui ont découvert le ver sur une vingtaine d’application Android mais aussi sur le Google Play store. Ce qui est ennuyant dans cette histoire, c’est que ce virus a réussi là où de nombreux autres ont échoué. En effet depuis plusieurs années la firme mountain view spécialisée dans la sécurisation des applis mobiles a déployé son programme verify qui s’emploie à faire la chasse aux applications dangereuses. Malheureusement ce sont déjà pas moins de déjà 12 millions d’utilisateurs qui ont téléchargé en confiance ces applications corrompues depuis le début de l’année.
Ce qui a trahi ce virus d’où sa découverte récente, c’est qu’il se comporte de façon plutôt bizarre au démarrage de l’application. Il cherche notamment à exécuter des événements inhabituels et les chercheurs ont noté qu’il embarquait aussi un fichier d’une taille de 1.3 Mo chiffré en tant qu’image, c’est en fait un exécutable. Et c’est là son atout majeur car cet exécutable sert de dropper, c’est-à-dire un tremplin qui va lui servir à télécharger d’autres et exécuter d’autres applications. Il réagit de la même façon que le précédent sauf qu’aujourd’hui son dropper utilise un plug-in développé par une société chinoise spécialisée en cyber-sécurité pour tester des applications dans une machine virtuelle. Appelé Droidplugin, il installe ainsi des applis frauduleuses dans cette machine virtuelle. Son grand avantage ? Ce virus n’a du coup plus besoin de rooter le smartphone attaqué pour fonctionner.
Une fois le smartphone compromis, le serveur de commande et de contrôle lié au malware va lui envoyer de fausses publicités et de faux programmes. L’appli, qui fonctionne donc dans une machine virtuelle, génère alors une fausse ID de référence, qui permet aux hackers de générer des revenus.
Méfiance donc si vous téléchargez ou avez téléchargé une application mise en ligne par un compte chinois n’ayant pas beaucoup de programmes à son actif et qui affiche une trop grosse disparité de notes. Si vous avez un doute et pensez avoir déjà téléchargé une application de ce genre, sachez qu’elles ont tendance à ne pas fonctionner, à se lancer et à planter immédiatement.
Spam, anti-spam, mta, email, fqdn 
Votre commentaire