Détection d'un nouveau malware potentiellement lié au groupe Lazarus dans une application Android

Les chercheurs de Mcafee Mobile Security ont découvert un nouveau malware Android contenant un fichier au format ELF1 permettant d'obtenir un accès distant similaire à plusieurs fichiers exécutables ELF connus pour avoir été utilisés par le groupe de cybercriminels Lazarus.

Le malware se présente sous la forme d’un fichier APK légitime, disponible sur Google Play et permettant la lecture de la Bible en coréen. Cette application a été installée plus de 1300 fois.

Le fichier APK2 reconditionné a été signé par un certificat différent de l'APK légitime. Une fois l’APK malveillant installé, il tente d’exécuter l’ELF permettant d'obtenir un accès distant qui va se transformer en un processus zombie. Ce processus va connecter le périphérique à une liste de serveurs de contrôle et attendre leurs instructions. Lors de la première utilisation, le malware va notamment envoyer des informations sur les variables globales du téléphone affecté tout en utilisant des paquets SSL et des techniques d’évasion pour éviter d'être détecté par d'éventuelles solutions de sécurité présentes sur le téléphone.

L’équipe de chercheurs de McAfee Mobile Security recommande de garder les applications de sécurité à jour sur le téléphone afin de se prémunir ou de limiter l’impact de ce type de malware.