Une campagne d'email malicieux visant Android à travers le Trojan.Android.Torec
Plutôt classique.
Mail avec un sujet :
Contenu du mail :Avis important 0E49"
Les liens malicieux :Cher Utilisateur,
Une faille de sècuritè dans le système d'exploitation Android a ètè dècouverte.
Nous avons pris connaissance de cette faille de sècuritè et dans le cadre de la veille que nous opèrons en permanence, nos èquipes sont mobilisèes sur ce sujet et travaillent notamment en ètroite collaboration avec les constructeurs concernès.
Cette faille permettrait d'introduire un logiciel malveillant sur votre smartphone Android, via un MMS, l'application Hangouts ou en consultant un site internet, et pourrait rècupèrer des donnèes prèsentes sur votre terminal.
Expéditeur
[email protected] "
avec un lien vers
ttp://AdobeFlashPlayer.Securitymk25bt2gbhdg6m.kirikler.com/AdobeFlash/"
Code : Tout sélectionner
http://adobeflashplayer.securitymk25bt2gbhdg6m.kirikler.com/AdobeFlash/
http://adobeflashplayer.securitymk25bt2gbhdg6m.kirikler.com/AdobeFlash/adobe.php
http://adobeflashplayer.securitymk25bt2gbhdg6m.kirikler.com/AdobeFlash/adobeflash.php
http://adobeflashplayer.securitymk25bt2gbhdg6m.kirikler.com/AdobeFlash/Adobe_Flash.apk

On obtient les messages suivant en français avec une erreur critique où il faut mettre à jour Adobe Flash.
Classique donc, un mail visant à pousser un faux installeur Adobe Flash.


Les permissions du malware demandés durant l'installation :


Comme on peut le constater le Trojan peut utiliser le téléphone pour envoyer et recevoir des téléphones.
On peut donc envoyer une campagne de liens malicieux aux contact sou envoyer des SMS surtaxés afin de monétiser.
On retrouve le contrôle du téléphone dans les class du malware.android.permission.SEND_SMS (send SMS messages)
android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
android.permission.INTERNET (full Internet access)
android.permission.SYSTEM_ALERT_WINDOW (display system-level alerts)
android.permission.ACCESS_NETWORK_STATE (view network status)
android.permission.WAKE_LOCK (prevent phone from sleeping)
android.permission.GET_TASKS (retrieve running applications)
android.permission.CALL_PHONE (directly call phone numbers)
android.permission.RECEIVE_SMS (receive SMS)
android.permission.READ_PHONE_STATE (read phone state and identity)
android.permission.READ_SMS (read SMS or MMS)
Ce dernier communique avec le serveur 46.183.216.90

La détection de ce dernier est bonne :
Etant relativement commun.SHA256: f4726b2207f67b7a42e5f70f215f3dc2c6318aa4bdd92293180ab2f4e24b68dc
Nom du fichier : Adobe_Flash.apk
Ratio de détection : 24 / 57
Date d'analyse : 2016-04-02 10:07:45 UTC (il y a 3 minutes)
Antivirus Résultat Mise à jour
AVG Android/Deng.VVB 20160402
Ad-Aware Android.Trojan.SLocker.A 20160402
AhnLab-V3 Android-Trojan/Slocker.d7b0 20160401
Alibaba A.H.Rog.Pletor.F 20160401
Arcabit Android.Trojan.SLocker.A 20160402
Avast Android:Agent-JLL [Trj] 20160402
Avira (no cloud) ANDROID/Agent.IS.Gen 20160402
BitDefender Android.Trojan.SLocker.A 20160402
CAT-QuickHeal Android.SmForw.BY 20160401
Cyren AndroidOS/Banker.Q.gen!Eldorado 20160402
DrWeb Android.Banker.51.origin 20160402
ESET-NOD32 a variant of Android/Torec.C 20160402
Emsisoft Android.Trojan.SLocker.A (B) 20160402
F-Secure Trojan:Android/Fakeinst.KD 20160402
Fortinet Android/Torec.H!tr 20160401
GData Android.Trojan.SLocker.A 20160402
Ikarus Trojan.AndroidOS.Slempo 20160402
K7GW Trojan ( 00497ecc1 ) 20160402
Kaspersky HEUR:Trojan-Banker.AndroidOS.Acecard.b 20160402
eScan Android.Trojan.SLocker.A 20160402
NANO-Antivirus Trojan.Android.Banker.dywvmc 20160402
Qihoo-360 Trojan.Android.Gen 20160402
Sophos Andr/Torec-F 20160402
Tencent SH.!Android.MExtra.Gen.5cd 20160402
D'ailleurs, nous avions mentionné, une campagne de Android.Torec à travers des malvertising toujours se servant d'Adobe Flash comme prétexte : http://malvertising.stopmalwares.com/20 ... ake-flash/
Si vous voyez un apk qui demande à s'installer, fuyez.
Plus d'informations sur les menaces informatiques sur Android : Les virus sur Android.