SMS Trojan Targets South Korean Android Devices

It’s a common misconception that mobile malware is a problem limited to users in a particular geographical region such as China or Eastern Europe. Last week, McAfee Labs mobile research department received a mobile malware sample that targets Android mobile phone users in South Korea. The sample pretends to be a popular coffee shop coupon application, but in fact is an SMS Trojan that posts the incoming SMS messages to the attacker’s website.

If a user clicks the familiar application icon, a pop-up message will display the following information:

This is a fake error message reporting that the server is overloaded and unable to process the request. This, together with the icon used for the application, is simply social engineering to fool the victim into believing the application is legitimate but having problems, in the hope that the victim will just quit the application. This malicious app has nothing to do with the popular coffee vendor you may associate with the bogus icon.

While the message is displayed, the application creates a service to run in the background after the device has been rebooted. This service then sends the victim’s phone number to the following URL to “register” the infection.

  • http://it[deleted].com/Android_SMS/installing.php

The following image shows the application’s ability to gather a phone number and send it to the attacker:

Once the application is installed, it monitors any incoming SMS messages. All of these will be sent, together with the phone number of the sending device, to the following URL:

  • http://it[deleted].com/Android_SMS/receiving.php

Furthermore, the malicious application blocks the incoming SMS message as well as the notification, so the victim will never know of the message’s existence.

The following image shows the application code responsible for the incoming message theft:

This malicious application targets only South Korean Android devices by checking for numbers starting with “+82,” the international code for South Korea, as shown in the following:

All intercepted and stolen SMS messages and the originating phone number are posted to the aforementioned URL using “EUC-KR” character encoding, as shown in the following picture:

McAfee Mobile Security detects this malware as Android/Smsilence.A.

 

Les logiciels malveillants s’adaptent pour cibler les secteurs économiques dits sensibles

McAfee publie aujourd’hui son dernier rapport trimestriel sur les menaces informatiques (McAfee Threats Report: Fourth Quarter 2012) dans lequel le McAfee Labs révèle que les attaques sophistiquées ciblant à l’origine le secteur de la finance sont de plus en plus dirigées vers d’autres secteurs clés de l’industrie, tandis qu’une nouvelle série de tactiques et de nouvelles technologies sont mises en œuvre pour contourner les mesures de sécurité traditionnelles.

Le rapport McAfee montre la prolifération continue des chevaux de Troie voleurs de mots de passe, des menaces persistances avancées (APT), telles que celles de l’opération High Roller et du projet Blitzkrieg comme la multiplication des attaques visant les infrastructures gouvernementales, de production et de transactions commerciales.

Exploitant les données des utilisateurs des solutions McAfee collectées par son système de surveillance mondial Global Threat Intelligence (GTI), l’équipe de 500 chercheurs de McAfee Labs, présente dans 30 pays, suit l’éventail complet des menaces en temps réel, identifiant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers. Au 4ème trimestre 2012, McAfee Labs a identifié les tendances suivantes:

Plus de menaces, plus de disponibilité et plus d’industries ciblées

Les chevaux de Troie destinés à voler des mots de passe ont augmenté de 72% au 4ème trimestre depuis que les cybercriminels ont pris conscience que les informations d’authentification des utilisateurs constituent la partie intellectuelle la plus précieuse stockée sur la plupart des ordinateurs. Maintenant largement répandus, ces chevaux de Troie sont de plus en plus présents au sein de menaces conçues « sur mesure » ou associés à d’autres menaces génériques disponibles sur Internet. Les révélations faites par McAfee au quatrième trimestre concernant le cheval de Troie Citadel laissent à penser que les fonctionnalités de vol de mot de passe de celui-ci sont actuellement utilisées au-delà du secteur des services financiers.

 

blog1

 

  • Les menaces Web passent des botnets aux URLs

McAfee continue de voir les URL suspectes supplanter désormais les botnets comme premier moyen de diffusion de logiciels malveillants. Une analyse de ces menaces Web met en relief que le nombre de ces nouvelles URL suspectes a augmenté de 70% au 4ème trimestre. Ces nouvelles URL suspectes sont au nombre de 4,6 millions par mois, pratiquement le double des 2,7 millions par mois annoncés ces deux derniers trimestres. 95% de ces URL identifiées hébergeaient des logiciels malveillants, exploits ou codes spécifiquement destinés à compromettre des ordinateurs. La baisse du nombre de systèmes infectés contrôlés par des opérateurs de botnets est en partie due aux efforts d’application de la loi destinée à réduire le nombre de botnets présents, mais peut-être plus encore par le déclin de ce business model.

 

blog2A

 

blog2

 

  • Augmentation des infections en amont du système d’exploitation

Le volume des infections liées au Master Boot Record a progressé de 27% et a atteint son niveau maximal de tous les temps au cours de ce trimestre. Ces menaces s’immiscent profondément au coeur de la pile de stockage du PC, endroit où elles ne sont pas détectées par les solutions antivirus classiques. Une fois intégrées, elles sont en mesure de dérober les informations des utilisateurs, de télécharger d’autres logiciels malveillants, ou de tirer parti de la puissance de calcul du PC infecté pour lancer des attaques vers d’autres ordinateurs ou réseaux. Bien que ces attaques MBR représentent en général une portion relativement congrue du paysage des logiciels malveillants pour PC, McAfee s’attend à ce qu’elles deviennent un vecteur d’attaque majeur en 2013.

blog3

  • Fichiers binaires malveillants signés contournant la sécurité du système

Le nombre d’échantillons de logiciels malveillants signés électroniquement a doublé au cours de ce 4ème trimestre. Cela indique clairement que les cybercriminels ont décidé de faire des logiciels malveillants binaires signés le meilleur moyen de contourner les mesures standard de sécurité du système.

blog4A blog4B

  • Les logiciels malveillants pour mobiles continuent de croître et d’évoluer

Le nombre d’échantillons de logiciels malveillants pour mobiles découverts par McAfee Labs en 2012 était 44 fois supérieur à celui de 2011, signifiant ainsi que 95% de tous les échantillons de logiciels malveillants pour mobiles sont seulement apparus au cours de l’année dernière. Les cybercriminels concentrent désormais tous leurs efforts à attaquer les mobiles sur plate-forme Android, avec un bond de 85% d’échantillons de logiciels malveillants Android sur le seul 4ème trimestre. La motivation de déployer des menaces mobiles est enracinée dans la valeur intrinsèque de l’information trouvée sur les appareils mobiles, comprenant les mots de passe, les carnets d’adresses ainsi que toutes opportunités de détournement d’argent non présentes sur PC. Ces possibilités incluent les chevaux de Troie qui envoient des SMS surtaxés, faisant payer l’utilisateur pour chaque message envoyé.

blog5A blog5B

 

Plus d’informations sur ces logiciels malveillants pour mobiles dans le rapport McAfee sur les tendances des menaces sur mobile 2012 à l’adresse:

http://www.mcafee.com/us/resources/reports/rp-mobile-security-consumer-trends.pdf

 

Pour consulter le rapport complet McAfee Threats Report, rendez-vous à l’adresse:

http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2012.pdf

 

 

Russian Spammers Eye International Women’s Day

February is a short month, but not too short for spam events to make an impact. Valentine's Day and its associated threats has passed, so now it is time for International Women's Day—celebrated on March 8 every year. This is a great occasion to express love, respect, and kindness toward women and spammers will always attempt to take advantage of these events. The following is a spam campaign we have observed targeting International Women’s Day with a fake product promotion.

Often, spam originating from Russia will attack targets using online marketing promotions with odd phone numbers. Here, spammers targeted users by providing fake offers for great gifts for Valentine’s and International Women’s Day and also some peculiar phone numbers are provided for ordering a gift certificate.

The following is an example of the Russian spam observed by Symantec:

The spam can be identified by the subject line:

  • Subject: Лучший подарок на 14 февраля и 8 марта

The translation is "Best gift for 14 Feb. and 8 March".

In some other spam samples, spammers have enticed targets with health products for women. The following email subject have been observed in this attack:

  • Subject: Body and Soul women's weight loss
  • Subject: Workouts for Women
  • Subject: Women try to balance fitness, safety

Symantec advises our readers to be cautious with unsolicited or unexpected emails, and to not be fooled by fake gift and product offers. We at Symantec are monitoring spam attacks around the clock to ensure that readers are kept up to date with information on the latest threats.

And have a happy International Women’s Day.

Researchers find yet another way to get around iOS 6.1 passcode

There's a second passcode lock vulnerability in iOS 6.1, according to Vulnerability Lab CEO Benjamin Kunz Mejri (hat tip to Kaspersky Lab's threatpost). Mejri had recently outlined the vulnerability in an e-mail to the Full Disclosure list, highlighting yet another way for attackers to get past the lock screen and access a user's contacts, voicemails, and more.

Yet another iOS 6.1 passcode bug.

As detailed by Mejri, this new bug appears to be slightly different from the one highlighted earlier this month. The two start out in a similar way—by following a set of steps that utilizes the Emergency Call function in addition to the lock/sleep button and the screenshot feature. When making an emergency call, an attacker could cancel the call while holding the lock/sleep button in order to access data on the phone.

The difference between the first exploit and this one is how it can make the iPhone screen go black, allowing an attacker to plug the device into a computer via USB and access the user's data without having their PIN or passcode credentials.

Read 2 remaining paragraphs | Comments