Les chercheurs en sécurité d’AdaptiveMobile ont découvert Selfmite, un Worm qui s’autopropage en envoyant des SMS comprenant un lien malveillant à la liste de contacts récupérée sur des smartphones Android.
Le Worm envoie en effet des liens malveillants à 20 contacts présents dans le carnet d’adresses du propriétaire du périphérique ou smartphones sur lequel il a été téléchargé.
Selfmite est le deuxième logiciel malveillant découvert ces derniers mois qui utilisent ce mécanisme d’auto-propagation, les experts en sécurité estiment que cette situation est un indicateur d’une tendance inquiétante.
En Avril 2014 les chercheurs en sécurité de ESET ont dévoilé un malware surnommé Samsapo ciblant les utilisateurs russophones d’Android, qui utilise la liste de contacts d’un smartphone pour s’autopropager à d’autres appareils Androids.
Les messages SMS envoyés par Selfmite ont le format suivant:
“Cher [NOM], Regardez le Self-time », suivi par une URL raccourcie généré avec Goo.gl.
Le lien malveillant point à un fichier APK appelé TheSelfTimerV1.apk, une fois l’application installée elle permet au worm Selfmite à convaincre les utilisateurs à télécharger et à installer un fichier appelé mobogenie_122141003.apk.
Mobogenie est une application légitime populaire qui permet aux utilisateurs d’Androids de synchroniser leurs appareils avec les PC et de télécharger des applications à partir d’un App Store alternatif.
L’application Mobogenie a été téléchargé plus de 50 millions de fois à partir du site officiel Google Play, mais elle est également proposée via différentes plate-formes de publicité.
L’impact sur les utilisateurs qui ont été trompés dans l’installation d’un malware et d’autres applications indésirables est que le Worm peut automatiquement envoyer des messages que la victime devra payer et il doit également examiner le risque de blocage de son téléphone mobile si l’opérateur remarque des activités suspectes.
L’URL courte goo.gl utilisée pour diffuser l’APK malveillant a été désactivée par Google. Mais il est évident que les cybercriminels derrière le Worm Selfmite vont très rapidement créer une autre URL pour les campagnes futures.
Comme d’habitude, il est fortement recommandé de ne pas télécharger des applications à partir de Stores tiers, comme il est fortement recommandé de ne pas permettre l’installation d’applications à partir de « sources inconnues » sur votre appareil Androïde.

