Un malware se faisant passer pour un adware vient d’être détecté dans un émulateur NES, téléchargeable sur les appareils sous Android.
Fans de Nintendo sous Android, méfiez-vous ! Un nouveau malware Android s’est infiltré sur les app stores tiers sous la forme d’un jeu issu du catalogue de la NES.
C’est la firme de sécurité Palo Alto Networks qui a découvert ce malware, baptisé Gunpoder. D’après la société, il s’agirait d’une nouvelle famille de logiciels malveillants, qui ressemble et se comporte comme un Adware, pour voler des informations personnelles à partir d’appareils Android infectés.
L’application est basée sur un émulateur open-source de la console NES, qui est disponible en téléchargement sur des app stores tiers. Les hackers derrière le malware Gunpoder ont détourné l’émulateur pour y ajouter une fonction de paiement ainsi qu’une régie publicitaire. Le résultat est une application payante qui vole également vos données personnelles.
Voici le mode opératoire du malware: Une fois téléchargée, l’application affiche un message prévenant que l’émulateur est financé par la publicité. En appuyant sur « OK », l’utilisateur autorise un programme appelé Airpush à recueillir des données à partir de l’appareil. Airpush est une bibliothèque généralement utilisée pour afficher de la pub sur les applications mobiles. Cependant, dans cet émulateur NES, Airpush recueille beaucoup d’informations personnelles, y compris la position géographique de l’utilisateur, sa liste de contacts, ses favoris, ainsi que des informations sur le dispositif en lui-même.
Après avoir accepté la collecte de données, l’application demande d’acheter une « licence à vie. » Si l’utilisateur accepte, l’application recueille ses informations de paiement et facture 0,45 $ pour la licence.
Palo Alto Networks indique que l’utilisation d’Airpush permet à Gunpoder de passer entre les mailles des logiciels antivirus car ils ne bloquent ni ne détectent les adwares comme des logiciels malveillants.
En plus d’être indétectable par les logiciels antivirus, le malware se répand comme une traînée de poudre. Les utilisateurs du « jeu » NES sont invités à partager l’application avec leurs contacts via SMS, pour infecter d’autres appareils Android.
Palo Alto Networks rapporte que Gunpoder est présent dans 13 pays : États-Unis, Irak, Thaïlande, Inde, Indonésie, Afrique du Sud, Russie, France, Mexique, Brésil, Arabie Saoudite, Italie, et en Espagne.
Bien entendu, pour se protéger des malwares et adwares, il est conseillé de télécharger ses applications uniquement sur la boutique officielle Play Store de Google.
