Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mazar BOT : un puissant malware pour Android, pourtant simple à éviter

Hygiène élémentaire

Mazar BOT : un puissant malware pour Android, pourtant simple à éviter

Le 16 février 2016 à 13h00

La société de sécurité Heimdal, à qui l’on doit déjà plusieurs rapports sur les tendances des malwares, a averti récemment d’un puissant malware sévissant sur Android. Équipé de nombreuses fonctionnalités, il peut changer un appareil mobile en véritable zombie. Il n’est pourtant pas difficile à éviter.

Mazar BOT est le nom d’un malware repéré par Heimdal Security (à qui l'on doit la récente analyse de CryptoWall 4.0) et sévissant actuellement sur la plateforme Android. Il a été repéré sous forme de lien dans un SMS envoyé au hasard à des numéros. Le lien conduit vers un fichier APK, format utilisé pour l’installation des applications sur la plateforme mobile. Si l’utilisateur ouvre ce téléchargement (et qu’il a autorisé les installations depuis des sources tierces), le malware se met en place.

De nombreuses fonctionnalités de contrôle

Ses capacités sont particulièrement nombreuses. Il peut lire les SMS reçus et en expédier lui-même, passer des appels aux contacts du répertoire, contaminer Chrome, forcer le téléphone ou la tablette à passer en mode veille, accéder à Internet, lire l’état du téléphone ou interroger le réseau pour en connaître le statut, modifier le fonctionnement des boutons ou encore effacer intégralement le contenu du stockage.

Mazar BOT fait également en sorte de se maintenir dans l’appareil de manière à se relancer automatiquement au démarrage du système. Mais il doit surtout son nom au fait qu’il peut prendre complètement le contrôle d’un smartphone et le faire rejoindre un réseau constitué d’autres appareils zombies (un botnet). Le malware peut également installer un client Tor pour communiquer de manière anonyme, ainsi qu’un proxy (Polipo) pour surveiller tout ce que fait l’utilisateur.

Selon Heimdal, ce puissant malware pourrait bien être d’origine russe. Plusieurs signes pointent en effet en ce sens. D’une part, le fait qu’il ne peut pas être installé sur des appareils Android dont la langue d’utilisation est configurée sur « russe ». D’autre part, l’éditeur n’a repéré aucun cas d’infection dans le pays. Enfin, le code du malware a fait l’objet d’une campagne de vente sur certains forums russes spécialisés.

Un brin de « jugeote » 

Cela étant, et en dépit des capacités impressionnantes de ce malware, il n’est pas compliqué de l’éviter. Contrairement à du code qui se baserait sur l’exploitation active de failles non corrigées (un problème récurrent sur Android à cause de la fragmentation élevée de la plateforme), quelques règles d’hygiène élémentaires peuvent suffire.

La plus importante concerne la réception des messages. Dans le cas de Mazar, le texte fait la promotion d’une application de messagerie. Cliquer sur le lien récupère en effet une application du nom très générique « MMS Messaging ». Ce qui revient finalement à ouvrir une pièce jointe dans un email ayant un expéditeur inconnu. Outre cette précaution, ce malware ne peut pas s’installer si le smartphone est toujours réglé pour n’installer des applications que depuis le Play Store de Google. Il s’agit du réglage par défaut sur tous les nouveaux appareils et seule une intervention de l’utilisateur peut la modifier.

Enfin, et même si la case est cochée, l’installation de l’application réclame des droits très importants (passer des appels, envois de SMS, outils système...), ce qui devrait mettre immédiatement la puce à l’oreille de certains utilisateurs.

Ne jamais cliquer sur les liens dans les messages

Ce type de distribution a surtout des chances de fonctionner auprès des utilisateurs anglo-saxons - le message du SMS étant rédigé en anglais – et n’étant pas sensibilisés au monde informatique en général. Pour ceux qui connaissent un tant soit peu la sécurité, la démarche paraîtra louche dès le premier coup d’œil, autant qu’un SMS annonçant que l’on a un message vocal et qu’il suffit de « cliquer sur ce lien pour l’écouter ».

Nul doute cependant qu’un peu d’ingénierie sociale permettrait à Mazar de pousser plus loin sa campagne, mais dans ce cas le conseil resterait le même : n’installez que des applications que vous avez vous-mêmes choisies.

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Wype a écrit :



Petite question, le s4 en Europe c’est du exynos?



Sinon je tourne sur une 6.0.1 aosp sur mon s4 et pareil, la rom peut être utilisé comme daily driver, aucun problème majeur.







Je sais pas, mon s4 est Québécois.



C’est quoi ta Rom plus précisément ?


votre avatar

Ok si c’est québecois, c’est du qualcom.



Je tourne sur la rom aosp 6.0.1 JDCteam( qui est fourni avec un custom kernel très bien optimisé et quelques tweaks sur la rom dédié au s4) a laquelle j’ai ajouté le xposed framework.



Ça tourne très bien, la batterie tiens bien et j’ai pas eu de bug notoires ( et le capteur IR ne fonctionne pas encore ). Sinon précedemment j’etais sur uneCM 12.1 optimized de la même team.


votre avatar

Alors si j’ai bien compris, pour attraper ce malware il faut :





  1. Éteindre son cerveau ;

  2. Volontairement autoriser l’installation d’applis en dehors du Google Play Store ;

  3. Recevoir un SMS frauduleux ;

  4. Cliquer sur le lien dudit SMS, ce qui installe le malware.



    Il faut quand même sacrément le vouloir pour se faire infecter… En général les Michu ne vont pas farfouiller dans les options, donc même s’ils passent l’étape 1 ils ne satisfont pas la 2 ; et les utilisateurs expérimentés qui passent l’étape 2, soit ne passent pas la 1 soit ne font pas la 4…



    Du coup je me demande vraiment qui peut se faire avoir par ce genre de truc ? <img data-src=" />

votre avatar

Je cours passer la langue de mon téléphone en russe. <img data-src=" />

votre avatar

Les Michu ont des amis “power-users” qui ont farfouillé dans leur téléphone et fait l’étape 2 (pour leur installer une appli externe). Ensuite les Michu peuvent passer tranquillement à l’étape 3. <img data-src=" />

votre avatar

Comme souvent avec ce genre de worm, tout tient sur le social engineering ….



Si tu reçois un SMS d’un ami/d’un membre de ta famille qui te dis d’installer cette GENIALE application pour discuter avec moi, il y a une portion non nulle d’utilisateurs qui l’installera …

votre avatar







Konrad a écrit :



Alors si j’ai bien compris, pour attraper ce malware il faut :





  1. Éteindre son cerveau ;

  2. Volontairement autoriser l’installation d’applis en dehors du Google Play Store ;

  3. Recevoir un SMS frauduleux ;

  4. Cliquer sur le lien dudit SMS, ce qui installe le malware.



    Il faut quand même sacrément le vouloir pour se faire infecter… En général les Michu ne vont pas farfouiller dans les options, donc même s’ils passent l’étape 1 ils ne satisfont pas la 2 ; et les utilisateurs expérimentés qui passent l’étape 2, soit ne passent pas la 1 soit ne font pas la 4…



    Du coup je me demande vraiment qui peut se faire avoir par ce genre de truc ? <img data-src=" />





    Si ce type de malware ne marchaient pas, il y a longtemps qu’on ne les verrais plus.


votre avatar

maintenant tant que la connerie sera comme la paire de fesses : la chose la mieux partagée au monde, ce genre de malware perdurera.



Au fait comment dire PEBCAK dans le cas d’un téléphone ? Il n’y a pas de chaise ni de clavier …

votre avatar



un problème récurrent sur Android à cause de la fragmentation élevée de la plateforme



merci aussi au fabricants et operateurs, faut parfois attendre des années avant d’avoir une MAJ selon le telephone et l’operateur…..



mon S5 est toujours bloqué en 5.0.2….sortie en octobre 2014

votre avatar

Tu comprends pas, si tu veux avoir une meilleure expérience utilisateur ou une meilleurs sécurité il faut changer d’appareil !!!!



C’est juste une stratégie commerciale pour faire changer de téléphone plus souvent et réduire les couts

votre avatar

comme souvent la plus grosse faille c’est l’interface clavier/chaise (là tactile/chaise)

votre avatar

Interface oreille/main ??



Interface paume/doigt ??

votre avatar







Soriatane a écrit :



Interface oreille/main ??



Interface paume/doigt ??







Sinon, on peut se dire aussi que cette blague totalement éculée depuis des années déjà fait même plus sourire personne, et parler d’utilisateur tout simplement <img data-src=" />


votre avatar

sauf que la tu peux rajouter la couche constructeur qui est responsable de la non correction des failles critiques qui sont pourtant corrigée par google

votre avatar







nikon56 a écrit :



merci aussi au fabricants et operateurs, faut parfois attendre des années avant d’avoir une MAJ selon le telephone et l’operateur…..



mon S5 est toujours bloqué en 5.0.2….sortie en octobre 2014







CyanogenMod tourne au poil sur ce téléphone.

Je suis en 12.1 et j’attends encore un peu avant de passer à la 13. (d’ailleurs si quelqu’un l’a déja fait et peut faire un ptit retour…)


votre avatar

PEBEAS : Problem Exists Between Earth And Screen

votre avatar







Gundar a écrit :



Sinon, on peut se dire aussi que cette blague totalement éculée depuis des années déjà fait même plus sourire personne, et parler d’utilisateur tout simplement <img data-src=" />





L’interface appareil cordico-auditif / outil sensilo-scripteur a quand même un peu plus de gueule


votre avatar







cassoulet a écrit :



L’interface appareil cordico-auditif / outil sensilo-scripteur a quand même un peu plus de gueule







Le mot “interface” fait trop simple du coup.

Facteur organique d’interaction ?


votre avatar

reste que comme le dit la news, la fragmentation n’a rien à faire dans ce malware.



Même si ton téléphone était en 6.1 le malware fonctionnerai de la même manière … (la nouvelle gestion des autorisation sous Marshmallow n’ayant aucun INpact sur les apps pré-marshmallow si ce n’est la possibilité de désactiver après coup les autorisations).



Mais bordel pourquoi il passe pas par un SMS exploitant stagefright pour se rependre ? <img data-src=" />



Elles sont si difficile à exploiter ces failles ? <img data-src=" />

votre avatar









PtaH a écrit :



CyanogenMod tourne au poil sur ce téléphone.

Je suis en 12.1 et j’attends encore un peu avant de passer à la 13. (d’ailleurs si quelqu’un l’a déja fait et peut faire un ptit retour…)







Je suis sur CM13 depuis 1 mois sur GS4 et je n’ai pas vraiment de problème. Peut-être que la batterie est moins bonne mais j’utilise une 5200ma alors difficile à dire.



Pour le reste aucun crash, freeze, hard reboot.



Pour une rom en alpha, c’est très bon.


votre avatar







von-block a écrit :



Je suis sur CM13 depuis 1 mois sur GS4 et je n’ai pas vraiment de problème. Peut-être que la batterie est moins bonne mais j’utilise une 5200ma alors difficile à dire.



Pour le reste aucun crash, freeze, hard reboot.



Pour une rom en alpha, c’est très bon.







Merci :)



J’ai déja téléchargé 6 ou 7 Nightlies mais à chaque fois au moment de lancer l’install je me suis ravisé. Ca sera pour ce weekend alors.


votre avatar

Android c’est p’tre bien sur un Nexus, mais alors sur les autres smartphone, des que t’as une couche constructeur ca devient vite une plaie. Et c’est de pire en pire au fil des mois. Faudrai que google impose des maj obligatoire sinon ca va mal finir

votre avatar







atomusk a écrit :



reste que comme le dit la news, la fragmentation n’a rien à faire dans ce malware.



Même si ton téléphone était en 6.1 le malware fonctionnerai de la même manière … (la nouvelle gestion des autorisation sous Marshmallow n’ayant aucun INpact sur les apps pré-marshmallow si ce n’est la possibilité de désactiver après coup les autorisations).



Mais bordel pourquoi il passe pas par un SMS exploitant stagefright pour se rependre ? <img data-src=" />



Elles sont si difficile à exploiter ces failles ? <img data-src=" />





Pour stagefright il me semble que c’est par MMS plutôt non ?


votre avatar







PtaH a écrit :



Merci :)



J’ai déja téléchargé 6 ou 7 Nightlies mais à chaque fois au moment de lancer l’install je me suis ravisé. Ca sera pour ce weekend alors.







Il y a`de petits défauts, mais je me suis dit que les problèmes ne valaient pas de retourner sur 12.1.



En plus quel bonheur d’aller dans les paramètres téléphone et de voir que la mise à jour de sécurité Google pour ton galaxy S4 est celle de Février 2016. J’adore l’ultra réactivité de Cyanogen sur la sécurité.


votre avatar

PEBKAG pour ceux qui ne sourient pas (GROUND)







Gundar a écrit :



Sinon, on peut se dire aussi que cette blague totalement éculée depuis des années déjà fait même plus sourire personne, et parler d’utilisateur tout simplement <img data-src=" />





Oui, il y a toujours eu un côté sarcastique<img data-src=" />


votre avatar



l’installation de l’application réclame des droits très importants

(passer des appels, envois de SMS, outils système…), ce qui devrait

mettre immédiatement la puce à l’oreille de certains utilisateurs.



Et bien en fait, pas tellement. Il est plutôt normal qu’une application de SMS/MMS nécessite des droits importants. Par exemple :





  • Accès aux appels pour l’historique des échanges avec les contacts

  • Accès à internet pour l’envoi/réception de datas (MMS, liens internet, plugins pour l’appli)

  • Accès aux fichiers pour l’ajout de photos/vidéos en MMS

  • “Outils systèmes”, ce terme est trop générique pour qu’on sache vraiment ce que ça touche.



    On peut se poser des questions avec des applis aux permissions longues comme le bras. Malheureusement, dans le cas d’une appli SMS/MMS, ce qui se fait aujourd’hui est tellement diversifié (car la concurrence est rude, c’est à celui qui aura le plus de fonctions) que ça ne devrait surprendre personne. Le fait de se faire passer pour ce genre d’appli n’est pas choisi par hasard (surtout pour la lecture des messages. En dehors de ce genre d’appli, cette autorisation ferait tiquer pour n’importe quel autre type d’appli).

votre avatar

en effet, c’est plus par MMS ou encore par des apps qui utilisent la librairie (hangout, waze, telegram ou autre normalement pourrait être des cibles - sauf si ils réencodent les images/mp3 avant de les envoyer aux utilisateurs).

votre avatar

L’avantage du SMS pour la dispersion c’est que tout le monde peut les recevoir j’imagine.

Il est peut être plus difficile d’envoyer un message via une app (hangout etc.) depuis un smartphone aussi. A moins peut être d’émuler un clavier ?

votre avatar

Viens chez Windows phone :) … on a des cookies ! lol

votre avatar







cassoulet a écrit :



L’interface appareil cordico-auditif / outil sensilo-scripteur a quand même un peu plus de gueule





Un peut capilo-tracté tout ça <img data-src=" />


votre avatar

Tout le monde peut les recevoir, mais le pirate ne ciblant que les téléphone Android qui recoivent à 100% les MMS, et dont les API pour envoyer des MMS sont bien ouvertes, j’ai du mal à voir le souci.



Bon je vais me reconvertir dans la création de malware moi <img data-src=" />

votre avatar

Est-ce que par hasard le nombre de SMS “forfait” serait plus souvent illimité alors que les MMS non ?

votre avatar

bonne remarque … mais bon au pire, le pirate n’a pas l’air d’en avoir grand chose à faire de faire “payer l’utilisateur” <img data-src=" />



Même si, en effet, le risque serait que l’utilisateur se rende compte du souci et du coup que le pirate perde un “zombie” dans son reseau de zombie…

votre avatar

Petite question, le s4 en Europe c’est du exynos?



Sinon je tourne sur une 6.0.1 aosp sur mon s4 et pareil, la rom peut être utilisé comme daily driver, aucun problème majeur.

Mazar BOT : un puissant malware pour Android, pourtant simple à éviter

  • De nombreuses fonctionnalités de contrôle

  • Un brin de « jugeote » 

  • Ne jamais cliquer sur les liens dans les messages

Fermer