Annonce du 11. août 2015

Bon anniversaire FakePlayer – cinq années de malware Android !

En octobre 2010, la découverte d’Android.Trojan.FakePlayer.A, le premier malware connu du système d’exploitation Android, a fait l’effet d’une bombe au G DATA SecurityLabs. Une fois les premières tensions retombées, plusieurs questions ont demandé des réponses : Combien de personnes ont été affectées ? Quelles astuces les auteurs du malware ont-ils inventées pour rendre la tâche moins facile aux analystes ? Quel comportement adopte FakePlayer ?

La réalité allait s’avérer moins difficile que prévue ; quelques aspects pouvaient alors (encore) faire sourire. Le code du programme était très simple et contenait beaucoup d’erreurs. Cela donnait l’impression que les développeurs avaient observé le système Android pour la première fois pendant une soirée et bricolé ensemble quelques bribes de code venant d’ici ou d’ailleurs. Les auteurs du malware n’ont pas changé le nom standard de classification pour le nouveau projet Android dans l’environnement de programmation Eclipse, fournit à l’heure actuelle par Google : « org.me.androidapplication1 ». Il y avait une classification « HelloWorld ». C’est le premier exercice pour la plupart des développeurs quand ils souhaitent apprendre un nouveau langage de programmation.

Analyser ce malware fut assez simple : l’application utilisait une icône volée dans Windows Media Player pour se faire passer pour un lecteur de média. Mais une fois l’application lancée, il affichait simplement un message notifiant « Chargement » en russe et un flot de SMS premium étaient envoyés pour une valeur totale de 10 $.

Les mois suivants, de nouvelles variantes du malware sont apparues à intervalles régulières. Globalement, les experts du G DATA SecurityLabs en ont compté 8 différentes pour lesquelles dans chaque cas, l’icône, le nom de l’application ou le numéro utilisé pour les SMS Premium changeait.

Les choses ont changé depuis …

Comme attendu, les malware Android se sont développés de façon significative depuis lors. Des exemples actuels contiennent 100 fois plus de code, peuvent cacher leur existence et leurs activités, communiquent en secret grâce à un réseau anonyme et ainsi, ne facilitent pas le travail des analystes.

Le nombre de nouveaux programmes malveillants pour Android a énormément grandi depuis 5 ans : au deuxième semestre 2010, seulement 55 nouvelles variantes de malware ont été recensées, tandis qu’au premier semestre 2015, on parle de plus d’un millions de nouveaux échantillons (1 000 938). Globalement, de juillet 2010 à juin 2015, les experts ont compté 3 959 254 nouveaux malware. Cela signifie qu’après avoir dépassé ce que les experts avaient nommés « the barrier of the beast » (la barrière de la bête) en juin 2013, un nouveau cap va être franchi.

Les auteurs de malware Android ont depuis longtemps commencé à profiter de l’expérience des auteurs de malware Windows. Nos propres outils pour analyser et éliminer les malware se sont parallèlement développés. L’hypothèse de la Reine Rouge ou le « paradoxe de l’évolution » s’applique ici aussi.

Joyeux anniversaire FakePlayer!

Protégez votre appareil Android avec G DATA Internet Security POUR ANDROID.

Media:

Annonce du 11. août 2015

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr