Gunpoder : une famille de malwares Android cachée dans un émulateur NES
Un logiciel malveillant du nom de Gunpoder vient d'être détecté dans un émulateur NES proposé au téléchargement sur les appareils tournant sous Android. Il s'agirait en fait d'une famille de 3 variantes de ce malware.
Les malwares usent bien souvent la stratégie dite du cheval de Troie pour venir infecter le plus d’appareils possibles, et ce en se dissimilant dans des logiciels “sains”. Quand ils n’usurpent pas l’identité d’applications déjà existantes au détriment de l’internaute qui se rendra compte, après coup, de la tromperie.
Gunpoder est un malware récemment découvert et dont le mode opératoire se veut quelque peu différent des pratiques habituelles. Il sévit sur les boutiques d’applications tiers sur Android et est notamment inclus dans un émulateur NES open source.
Android : Gunpoder, un malware se faisant passer pour un adware
Comme nous le rapportent nos confrères de 01net, l’application en question, modifiée, intègre une régie publicitaire du nom d’Airpush. Laquelle avait fait parler d’elle il y a quelques années pour ses affichages de liens venant directement prendre place dans la barre de notification. Il était alors assez facile de considérer, à tort, Airpush tel un malware.
Inefficace en Chine
Les développeurs de Gunpoder ont vraisemblablement joué sur cette confusion, en intégrant ainsi leur malware dans la partie adware de leur logiciel, permettant de ce fait à Gunpoder de passer les systèmes de sécurité en tant qu’adware. D’après ce qu’indique le rapport de Palo Alto Networks, la société ayant révélé l’existence de Gunpoder, “l’auteur du malware a intentionnellement ajouté la librairie Airpush comme un bouc émissaire, afin que tous les comportements malicieux soient attribués” à cette même librairie. Palo Alto Networks a repéré trois variantes du malware, observé pour l’heure dans pas moins de treize pays dont la France. Avec la crainte que les informations récoltées par Gunpoder ne servent à mener de futures attaques phishing. À noter toutefois que le malware ne s’active pas s’il apprend que l’utilisateur de l’application se trouve en Chine.