Un nouveau cheval de Troie très vicieux sous Android, Réactions à la publication du 14/01/2016

[Lionel]

Afin d'augmenter la sécurité de certaines transactions sensibles, le système d'authentification à deux facteurs a été créé. Si le début de la transaction se fait via un mot de passe usuel, il faut une seconde validation avec un mot de passe unique, généré à cette occasion. Pendant longtemps il a été envoyé par SMS à l'intéressé qui n'avait plus qu'à le rentrer.
Hélas, des pirates ont commencé à mettre en place des chevaux de Troie capable de récupérer ces SMS et ainsi pirater des comptes.
Pour s'en prémunir, certains organismes ont commencé à communiquer ces mots de passe non pas par SMS mais par un appel vocal.

Les pirates ont fini par réagir aussi à cette nouvelle donne et Symantec a découvert un nouveau cheval de Troie visant les smartphones sous Android et appelé Android.Banksy.
Une fois installé sur un téléphone, il en permet un contrôle distant total. Ainsi, dans le cas des identifications à deux facteurs avec appel vocal, il est capable de forcer le mobile à passer en mode silencieux, de mettre en place un transfert d'appel et donc de permettre à ses promoteurs de récupérer en toute discrétion ce second mot de passe unique.

Bien entendu, il reste aussi capable de transférer en toute discrétion des SMS, de les empêcher de s'afficher et de les effacer.

Tout cela prouve surtout que l'on a maintenant affaire non plus à des pirates à la petite semaine même très doués, mais à des organisations qui comme les géants de l'électronique ont des équipes pointues de programmeurs capables de répondre à des demandes complexes, des vraies mafias ultra structurées et devenues à la pointe de la technologie.

Lien vers le billet original

[__otto__]

La mondialisation a fait ses preuves..;

[divoli]

Les pirates ont fini par réagir aussi à cette nouvelle donne et Symantec a découvert un nouveau cheval de Troie visant les smartphones sous Android et appelé Android.Banksy.

Android.Bankosy.

Edit: Visiblement, ce trojan (ou groupe de trojan) existe depuis plusieurs mois (on trouve par exemple cet article d'octobre 2015), il évolue dans sa forme et sa dangerosité.

Tout cela prouve surtout que l'on a maintenant affaire non plus à des pirates à la petite semaine même très doués, mais à des organisations qui comme les géants de l'électronique ont des équipes pointues de programmeurs capables de répondre à des demandes complexes, des vraies mafias ultra structurées et devenues à la pointe de la technologie.

Pourquoi "maintenant" ? C'est sans doute comme cela depuis de nombreuses années. Il est simplement évident que, comme ils sont devenus de petits ordinateurs, plus ces terminaux mobiles sont utilisés par les gens pour des opérations de la vie courante (parfois sensibles, comme on le voit ici) et plus ces organisations s'y intéressent.
Dans ce contexte, le comportement de nombre de fabricants (de terminaux Android) qui consiste à trainer les pieds pour fournir des mises à jour (lorsqu'il s'agit de combler des failles connues, même si ce n'est pas le cas ici), et finalement à abandonner trop rapidement le support, est critiquable et même irresponsable.

Ce message a été modifié par divoli - 14 Jan 2016, 00:59.

[LordJohnWhorfin]

Utilisez Android ou un iPhone jailbreake a vos risques et perils...

[Summerin]

Reste à savoir comment on chope ce trojan, en installant une application hors store, ce qui est désactivé par défaut ou via le store...
Même si je doute qu'on le récupère via le store.

Utilisez Android ou un iPhone jailbreake a vos risques et perils...

Non pas vraiment, un Android, un iPhone ou un WP c'est kif kif niveau sécurité, les seules applications installables étant sur les stores respectifs.
Par contre un iPhone JB ou un Android avec l'option installation de sources extérieures au store (désactivé sur tous les android par défaut) revient à ce que tu dis "à vos risques et périls".
Je ne sais pas si un équivalent existe sur WP.

[divoli]

Reste à savoir comment on chope ce trojan, en installant une application hors store, ce qui est désactivé par défaut ou via le store...
Même si je doute qu'on le récupère via le store.

Ben j'espère que non, d'autant que Google a récemment éliminé de son store 13 applications contenant un malware.

[MacMobile]

Non pas vraiment, un Android, un iPhone ou un WP c'est kif kif niveau sécurité, les seules applications installables étant sur les stores respectifs.

sur iOS aucune application ne peut contrôler un appel. C'est pour cette raison qu'il n'existe pas d'application permettant d'enregistrer une conversation téléphonique sur iOS Store. Le seul moyen d'enregistrer un appel sur iOS et de faire l'appel en passant par un numéro de téléphone de Service qui lui va rediriger l'appel vers le numéro voulu et faire l'enregistrement pour toi, puis te l'envoyer par la suite.

Android étant "ouvert" c'est possible mais ca permet aussi a une app roulant en background d'écouter le mot de passe de validation transmit par conversation téléphone lors de la verification en deux étapes.

[Zekje]

Reste à savoir comment on chope ce trojan, en installant une application hors store, ce qui est désactivé par défaut ou via le store...
Même si je doute qu'on le récupère via le store.

Ben j'espère que non, d'autant que Google a récemment éliminé de son store 13 applications contenant un malware.

c est justement là le probleme .... si google a supprimé qq applis c est qu elle etaient ( en pls d etre dispo sur le store ) vérolées ....
mais il me semble qu apple aussi a fait le ménage a une époque.

[apenSPEL]

[…]
Dans ce contexte, le comportement de nombre de fabricants (de terminaux Android) qui consiste à trainer les pieds pour fournir des mises à jour (lorsqu'il s'agit de combler des failles connues, même si ce n'est pas le cas ici), et finalement à abandonner trop rapidement le support, est critiquable et même irresponsable.

De même chez Apple qui ne fournit pas de compatibilité descendante et de mises à jour de sécurité pour des OS qu'elle juge obsolètes, mais encore largement utilisés.

[uzboxberg]

j'ai de plus en plus de messages SMS disant qu'untel m'aurait appelé et pour écouter le message, il faudrait cliquer sur un lien. Peut-être lié ?

[SartMatt]

j'ai de plus en plus de messages SMS disant qu'untel m'aurait appelé et pour écouter le message, il faudrait cliquer sur un lien. Peut-être lié ?

Aucun lien. Ça c'est juste une arnarque qui vise à te faire passer par un service payant (via un site Internet+ ou un appel à un numéro surtaxé) pour prendre connaissance du message qui t'es destiné. Message qui est bien évidemment bidon.

[hoogs]

j'ai de plus en plus de messages SMS disant qu'untel m'aurait appelé et pour écouter le message, il faudrait cliquer sur un lien. Peut-être lié ?

Rien à voir, ces vagues de sms ont un autre but: le lien reçu pointe sur un service payant, soit via internet + (débité sur ta facture de téléphone) soit qui réalise un appel surfacturé. Les petits ruisseaux faisant les grandes rivières, de dizaines de centimes en dizaines de centimes grapillés de ci de là, ils se font des couilles en or et c'est une plaie, qu'il ne faut pas hésiter à signaler au 33700. On reste en tous cas bien loin du cheval de Troie dont il est question dans l'article.

[edit] grillé par SartMatt

Ce message a été modifié par hoogs - 14 Jan 2016, 09:59.

[castor74]

Et ça marche vraiment, ce 33700, ou c'est encore un truc inutile destiné à rassurer?

[aranaud]

Sa va être marrant quand des gouvernements imposeront des backdoors qui se feront pirater. Sauf pour le consommateur

[DeaDPooL]

Et ça marche vraiment, ce 33700, ou c'est encore un truc inutile destiné à rassurer?

Bonjour,

De mon expérience le l'efficacité du 33700 est très relative.

Je reçois régulièrement des alertes Flash MMS que je signal, mais les numéros utilisés pour les envoi change tout le temps.

De même que pour les spam vocaux, toujours des numéros différents, donc je ne sais pas vraiment comment le 33700 remonte les sources.

Toujours est-il que cela prend 3 secondes pour faire le signalement, donc ça mange pas de pain.

[uzboxberg]

j'ai de plus en plus de messages SMS disant qu'untel m'aurait appelé et pour écouter le message, il faudrait cliquer sur un lien. Peut-être lié ?

Aucun lien. Ça c'est juste une arnarque qui vise à te faire passer par un service payant (via un site Internet+ ou un appel à un numéro surtaxé) pour prendre connaissance du message qui t'es destiné. Message qui est bien évidemment bidon.

merci, à hoogs aussi.

C'était juste une réflexion sur le comment ils arrivent à installer ce cheval de troie (on a déjà vu des images jpeg infestées...)
(je ne clique évidemment pas sur ces liens)

[Chicken Mayo]

j'ai de plus en plus de messages SMS disant qu'untel m'aurait appelé et pour écouter le message, il faudrait cliquer sur un lien. Peut-être lié ?

Aucun lien. Ça c'est juste une arnarque qui vise à te faire passer par un service payant (via un site Internet+ ou un appel à un numéro surtaxé) pour prendre connaissance du message qui t'es destiné. Message qui est bien évidemment bidon.

Exactement comme les appels vocaux (venant d'un numero normal) avec un message préenregistré qui te dit "allo, allo, tu m'entends? ah j'entends rien, rappelle moi".
Et quand tu rappelles tu tombes sur une messagerie qui te dit "mon numero à changé, c'est désormais le 0 89 91 23 456" qui bien sur est un numero surtaxé (0899 12 34 56) à 3€ la minute et te tiens en haleine le plus longtemps possible avec des "ne quittez pas, nous vous mettons en relation"

[kij14]

et ce numéros là ? 0 890 05 01 02

[ekami]

On ne cesse de me demander "quel logiciel de sécurité installer dans un androphone ?"
Quelqu'un à des connaissances d'applis gratuites pour ça ou vaut il mieux préférer des applis payantes qui font bien le job ?
Puisque c'est le sujet du topic, autant faire avancer le scmilblick.

[El Bacho]

Le 33700 a aussi une autre utilité. Quand vous recevez un coup de fil sur votre portable ou sur votre fixe où ça raccroche au bout de deux sonneries, même si vous avez décroché, il s'agit probablement d'un automate d'appel. Si vous rappelez le numéro, une voix vous dira de téléphoner sur un numéro surtaxé.

Le plus simple pour vérifier, c'est de chercher le numéro sur Google. S'il a déjà servi à des arnaques similaires, il y a généralement des témoignages sur des sites dédiés.

Vous envoyez ensuite au 33700 un SMS avec "Spam vocal 06xxxxxxx".

Évidemment, ce n'est pas parce qu'il y a un signalement que le numéro va être désactivé, mais pour peu que plusieurs utilisateurs signalent le numéro pour un SMS ou un spam vocal, il y a une bonne chance qu'il soit désactivé dans les jours qui suivent, et que les infos soient transmises aux opérateurs pour qu'ils puissent aussi remonter dans le réseau de spammeurs et le démanteler.

[divoli]

On ne cesse de me demander "quel logiciel de sécurité installer dans un androphone ?"
Quelqu'un à des connaissances d'applis gratuites pour ça ou vaut il mieux préférer des applis payantes qui font bien le job ?
Puisque c'est le sujet du topic, autant faire avancer le scmilblick.

De quoi tu parles, par "applis gratuites pour ça (...) applis payantes qui font bien le job" ? D'antivirus ?

Je ne suis pas franchement convaincu de l'efficacité de ces antivirus. D'une part, parce qu'ils ne scannent les applications qu'une fois installées, et d'autre part, d'après ce que j'ai lu, parce que contrairement aux antivirus pour PC ils ne scannent pas l'OS en lui-même. Donc si des applications vérolées balancent du code malveillant dans l'OS, ces antivirus n'y verront que dalle. On pourra toujours supprimer ces applications, mais sans pour autant détecter et supprimer le code malveillant inséré dans l'OS.
De plus, même sur PC, les malwares ont souvent un coup d'avance sur les antivirus.

M'est avis que la meilleure des précautions se trouve en amont; faire attention à ce que l'on télécharge et installe.

Ce message a été modifié par divoli - 14 Jan 2016, 13:00.

[ziggyspider]

Bienvenue chez le Comte Zero !

Le Neuromancien

[scoch]

On ne cesse de me demander "quel logiciel de sécurité installer dans un androphone ?"
Quelqu'un à des connaissances d'applis gratuites pour ça ou vaut il mieux préférer des applis payantes qui font bien le job ?
Puisque c'est le sujet du topic, autant faire avancer le scmilblick.

De quoi tu parles, par "applis gratuites pour ça (...) applis payantes qui font bien le job" ? D'antivirus ?

Je ne suis pas franchement convaincu de l'efficacité de ces antivirus. D'une part, parce qu'ils ne scannent les applications qu'une fois installées, et d'autre part, d'après ce que j'ai lu, parce que contrairement aux antivirus pour PC ils ne scannent pas l'OS en lui-même. Donc si des applications vérolées balancent du code malveillant dans l'OS, ces antivirus n'y verront que dalle. On pourra toujours supprimer ces applications, mais sans pour autant détecter et supprimer le code malveillant inséré dans l'OS.
De plus, même sur PC, les malwares ont souvent un coup d'avance sur les antivirus.

M'est avis que la meilleure des précautions se trouve en amont; faire attention à ce que l'on télécharge et installe.

Depuis Android M, l'intégrité du système est vérifiée au démarrage de l'appareil. Pas besoin d'antivirus pour cela.
https://support.google.com/nexus/answer/6185381

[zorphil]

D'où la cruciale nécessité d'instaurer un éco-système protégé avec des grosses barrières, des filtres, la surveillance des app, comme le fait Apple depuis des années, même si des passages étroits subsistent encore çà et là dans cette enceinte.

[Webtourist]

Il faudrait peu-être créer de nouvelles catégories sur le site, car ce sujet sur android est classé dans la catégorie : PC

Ce message a été modifié par Webtourist - 14 Jan 2016, 13:53.

[SartMatt]

D'où la cruciale nécessité d'instaurer un éco-système protégé avec des grosses barrières, des filtres, la surveillance des app, comme le fait Apple depuis des années, même si des passages étroits subsistent encore çà et là dans cette enceinte.

Oui, c'est crucial si on est adepte du nivellement par le bas : brider tout le monde parce que certains ne sont pas capables de faire un minimum attention à ce qu'ils font.

[Zekje]

On ne cesse de me demander "quel logiciel de sécurité installer dans un androphone ?"
Quelqu'un à des connaissances d'applis gratuites pour ça ou vaut il mieux préférer des applis payantes qui font bien le job ?
Puisque c'est le sujet du topic, autant faire avancer le scmilblick.

le plus simple est de faire attention
ne pas decocher 'sources externes'
télécharger que sur lapp store

et banire les conneries genre aptoid, et tout les ram optimizer et autre trukalacon

[divoli]

D'où la cruciale nécessité d'instaurer un éco-système protégé avec des grosses barrières, des filtres, la surveillance des app, comme le fait Apple depuis des années, même si des passages étroits subsistent encore çà et là dans cette enceinte.

Oui, c'est crucial si on est adepte du nivellement par le bas : brider tout le monde parce que certains ne sont pas capables de faire un minimum attention à ce qu'ils font.

Je trouve que ni Apple ni Google ne propose un système satisfaisant.

Il faudrait que Google soit beaucoup plus strict concernant son store et les applications qui sont fournies par les développeurs, notamment en les contrôlant sérieusement au niveau sécurité avant qu'elles ne soient mises à disposition sur son store (en gros, faire ce que fait Apple).

Et Apple devrait permettre aux utilisateurs qui le veulent d'installer des applications en dehors de l'App store, via une case à cocher dans les paramètres de sécurité (ce que propose Google).

Bref, pour dire les choses autrement, l'idéal (selon moi) combinerait:
- un contrôle strict des applications dans le store officiel, au moins au niveau sécurité afin de repérer le maximum d'applications malveillantes et ainsi de mieux protéger Mme Michu,
- une liberté donnée aux utilisateurs, sous la responsabilité de ces derniers, d'installer des applications en dehors du store officiel, ce qui aurait pour avantage de ne pas subir certaines décisions parfois arbitraires de ne pas proposer certaines applications sur le store officiel.

Or pour le moment, avec l'App Store et le Play Store, on a, tel que je conçois les choses, non pas deux systèmes parfaits mais au contraire deux systèmes imparfaits.

On ne cesse de me demander "quel logiciel de sécurité installer dans un androphone ?"
Quelqu'un à des connaissances d'applis gratuites pour ça ou vaut il mieux préférer des applis payantes qui font bien le job ?
Puisque c'est le sujet du topic, autant faire avancer le scmilblick.

le plus simple est de faire attention
ne pas decocher 'sources externes'
télécharger que sur lapp store

et banire les conneries genre aptoid, et tout les ram optimizer et autre trukalacon

Le problème, c'est que l'on peut choper une pelletée d'applications malveillantes en les téléchargeant depuis le Play Store. Et à contrario, en allant décocher "sources externes", on peut installer des applications qui seront parfaitement saines. Il est donc impossible de raisonner selon un schéma "applications sur le Play store --> forcément saines, applications en dehors du Play Store --> forcément malveillantes".

Ce message a été modifié par divoli - 14 Jan 2016, 15:42.

[ekami]

Le problème, c'est que l'on peut choper une pelletée d'applications malveillantes en les téléchargeant depuis le Play Store. Et à contrario, en allant décocher "sources externes", on peut installer des applications qui seront parfaitement saines. Il est donc impossible de raisonner selon un schéma "applications sur le Play store --> forcément saines, applications en dehors du Play Store --> forcément malveillantes".

Donc en clair, c'est la jungle...
Il n'y a vraiment aucune application qui sort du lot pour "protéger/optimiser" son androphone ?
Si c'est le cas, c'est carrément flippant !

[divoli]

Le problème, c'est que l'on peut choper une pelletée d'applications malveillantes en les téléchargeant depuis le Play Store. Et à contrario, en allant décocher "sources externes", on peut installer des applications qui seront parfaitement saines. Il est donc impossible de raisonner selon un schéma "applications sur le Play store --> forcément saines, applications en dehors du Play Store --> forcément malveillantes".

Donc en clair, c'est la jungle...
Il n'y a vraiment aucune application qui sort du lot pour "protéger/optimiser" son androphone ?
Si c'est le cas, c'est carrément flippant !

Ben il vaut mieux s'en tenir à des applications connues, d'éditeurs tout autant connus, ou des applications qui ont téléchargées un très grande nombre de fois. En espérant que Google revoit à terme la façon dont les applications sont mises à disposition sur son store (un contrôle préalable, comme le fait Apple, ne serait pas du luxe).

Maintenant, il y a nombre d'antivirus disponibles sur le Play Store (attention de ne se fier qu'à ceux d'éditeurs connus), mais comme je l'ai dit je ne suis pas convaincu de leur réelle efficacité.

Ce message a été modifié par divoli - 14 Jan 2016, 16:08.