{"id":6063,"date":"2016-09-15T09:43:12","date_gmt":"2016-09-15T09:43:12","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=6063"},"modified":"2019-11-22T09:07:17","modified_gmt":"2019-11-22T09:07:17","slug":"pokemon-go-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/pokemon-go-malware\/6063\/","title":{"rendered":"« Guide de Pok\u00e9mon Go » : le cheval de Troie qui attrape les dresseurs de Pok\u00e9mon"},"content":{"rendered":"

Moins de trois mois apr\u00e8s le lancement de Pok\u00e9mon Go, un malware s\u2019est infiltr\u00e9 dans Google Play pour cibler les dresseurs de Pok\u00e9mon. Nos experts ont d\u00e9couvert<\/a> le cheval de Troie il y a quelques jours et l\u2019ont imm\u00e9diatement signal\u00e9 \u00e0 Google. Malheureusement, \u00e0 ce stade, l\u2019application malveillante appel\u00e9e \u00ab\u00a0Guide de Pok\u00e9mon Go\u00a0\u00bb a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 500 000 fois.<\/p>\n

Ces derniers mois, environ six millions de personnes ont essay\u00e9 Pok\u00e9mon Go. Il n\u2019est pas \u00e9tonnant qu\u2019un jeu aussi populaire <\/span>attire rapidement l\u2019attentio<\/a>n des cybercriminels\u00a0: premi\u00e8rement, le premier malware de Pok\u00e9mon Go a \u00e9t\u00e9 d\u00e9couvert en <\/span>juillet<\/a>, peu de temps apr\u00e8s la sortie du jeu. A ce moment-l\u00e0, la situation n\u2019\u00e9tait pas aussi dangereuse\u00a0: le cheval de Troie s\u2019\u00e9tait infiltr\u00e9 dans un fichier malveillant et attendait d\u2019\u00eatre diffus\u00e9 en ligne. A pr\u00e9sent, nous allons vous raconter une toute autre histoire.<\/span><\/p>\n

Le nouveau cheval de Troie a \u00e9t\u00e9 d\u00e9couvert sur Google Play, tel un escroc professionnel, il se cachait remarquablement de fa\u00e7on \u00e0 ce que les experts en s\u00e9curit\u00e9 ne le remarquent pas puis choisissait minutieusement ses victimes. Pour les \u00ab\u00a0heureux \u00e9lus\u00a0\u00bb, il montrait des pubs, \u00e9norm\u00e9ment de pubs. Il \u00ab\u00a0rootait\u00a0\u00bb \u00e9galement leurs dispositifs et installait une tonne d\u2019autres fichiers malveillants et d\u2019applications non d\u00e9sir\u00e9es.<\/p>\n

Comment <\/strong>\u00e7<\/strong>a fonctionne<\/strong>\u00a0<\/strong>?
\n<\/strong><\/p>\n

Pour dissimuler la pr\u00e9sence du malware des scanners antivirus, les fichiers ex\u00e9cutables du cheval de Troie \u00e9taient compress\u00e9s avec un logiciel de compression<\/a> commercial. Les fichiers d\u00e9compress\u00e9s contenaient un contenu utile de Pok\u00e9mon Go (en r\u00e9alit\u00e9 le cheval de Troie) et un petit module avec un code imp\u00e9n\u00e9trable<\/a>.<\/p>\n

\"pokemon-go-trojan-screenshot-1\"<\/p>\n

Apr\u00e8s avoir install\u00e9 le Guide de Pok\u00e9mon Go, le malware attendait pendant quelque temps sans faire de bruit. Cette pause \u00e9tait intentionnelle\u00a0: le malware avait besoin de savoir s\u2019il se trouvait sur un vrai dispositif ou sur une machine virtuelle<\/a>. Cette derni\u00e8re est une illusion d\u2019un appareil informatique cr\u00e9\u00e9e par un logiciel d\u2019\u00e9mulation que les experts utilisent pour v\u00e9rifier comment fonctionnent des applications douteuses dans des conditions diff\u00e9rentes.<\/p>\n

Apr\u00e8s s\u2019\u00eatre assur\u00e9 qu\u2019il \u00e9tait sur un vrai dispositif, le cheval de Troie envoyait un message au serveur de commande et contr\u00f4le<\/a> ex\u00e9cut\u00e9 par les cybercriminels. Le compte-rendu contenait des informations sur le dispositif infect\u00e9\u00a0: le mod\u00e8le, la version du syst\u00e8me d\u2019exploitation, le pays, la langue par d\u00e9faut, et plus.<\/p>\n

\"pokemon-go-trojan-screenshot-2\"<\/p>\n

Le serveur analysait les informations, d\u00e9cidait si les victimes r\u00e9pondaient \u00e0 leurs besoins, et informait le cheval de Troie de sa d\u00e9cision. Avec l\u2019autorisation du serveur, le Guide de Pok\u00e9mon Go t\u00e9l\u00e9chargeait des fichiers malveillants suppl\u00e9mentaires (leur code \u00e9tait \u00e9galement brouill\u00e9). Ces fichiers s\u2019av\u00e9raient \u00eatre l\u2019artillerie lourde du cheval de Troie, ils avaient exploit\u00e9 un certain nombre de vuln\u00e9rabilit\u00e9s d\u00e9couvertes entre 2012 et 2015.<\/p>\n

Le malware arm\u00e9 rootait le syst\u00e8me, installait silencieusement des applis additionnelles, et submergeait le t\u00e9l\u00e9phone de pubs.<\/p>\n

Seulement des pubs<\/strong>\u00a0<\/strong>? Est-ce vraiment dangereux<\/strong>\u00a0<\/strong>? <\/strong><\/p>\n

Les publicit\u00e9s sont rarement plaisantes. Il est bien beau de regarder des publicit\u00e9s sur Google, mais c\u2019est en quelque sorte une fa\u00e7on de payer pour ses services \u00ab\u00a0gratuits\u00a0\u00bb. Et il s\u2019agit d\u2019une toute autre histoire lorsque des hackers infectent votre t\u00e9l\u00e9phone d\u2019un malware dans le but de diffuser tout le temps des banni\u00e8res publicitaires.<\/p>\n

N\u00e9anmoins, la partie la plus redoutable est cach\u00e9e\u00a0: le Guide de Pok\u00e9mon Go peut secr\u00e8tement installer n<\/em>\u2018<\/em>importe quelle <\/em>application sur votre dispositif. Pour le moment, les cybercriminels ont choisi une mani\u00e8re relativement douce de se faire de l\u2019argent\u00a0: les pubs. Demain, ils pourraient d\u00e9cider d\u2019augmenter leurs revenus en bloquant votre mobile et en demandant une ran\u00e7on, ou en vous volant de l\u2019argent sur votre compte en banque.<\/p>\n

\n

Why you shouldn\u2019t trust the reviews and ratings on #Google<\/a> Play https:\/\/t.co\/aMdYbh3T1F<\/a> pic.twitter.com\/n8QmQtAElm<\/a><\/p>\n

\u2014 Eugene Kaspersky (@e_kaspersky) September 1, 2016<\/a><\/p><\/blockquote>\n