Cette semaine, un employé de Microsoft a découvert un possible réseau d’appareils Android infectés qui envoient du spam à grande échelle via les serveurs de Yahoo. Des sociétés de sécurité comme Symantec, Lookout et Sophos ont analysé le malware présumé ; Yahoo a lancé une enquête sur l’application de messagerie électronique ; en réponse à Microsoft, Google a nié l’existence du problème sur Android.
Google pense que le problème ne vient pas d’Android : les messages ont seulement été modifiés pour surmonter les barrières de sécurité, selon l’entreprise. “Notre analyse suggère que les spammeurs utilisent des ordinateurs infectés et une fausse signature de téléphone portable pour essayer de contourner les mécanismes antispam des plateformes de messagerie électronique”, a déclaré un représentant de Google.
Lookout, une société spécialisée dans les antivirus pour appareils mobiles, a publié un post affirmant que les informations obtenues par l’ingénieur antispam de Microsoft, Terry Zink, ne suffisent pas pour prétendre qu’il s’agit d’un botnet pour appareils Android, puisque l’en-tête et la signature du courriel peuvent être falsifiés. Zink confirme cette possibilité, mais croit toujours à l’existence d’éventuels logiciels malveillants.
D’autres entreprises se sont également exprimées sur le sujet. Sophos dit qu’il est très probable que l’existence de la menace compte tenu des informations disponibles sur le spam, mais dit que ce fait “ne peut être prouvé”. Néanmoins, l’expert en sécurité Graham Cluley déclare que les chercheurs de Sophos ont déjà démontré qu’il est possible d’exploiter une telle faille dans Android, mais n’avaient pas encore vu un botnet contrôlé par des utilisateurs malveillants.
Les arguments contre l’existence des logiciels malveillants semblent convaincants, du moins pour moi. Le fabricant de Norton a fait remarquer que les comptes ont de bonnes chances d’avoir été créés spécifiquement pour envoyer du spam. Les échantillons ont un modèle de noms d’utilisateur. CorinaUllmande03, DionneWellnerur36, CelesteSyrusjf71 et KristinJamisondc53 sont très similaires ; tous ont les initiales du prénom et du nom avec une lettre majuscule et se terminent par deux chiffres à la fin.
M. Symantec a également indiqué que la grande majorité des courriels ne proviennent pas des adresses IP des opérateurs de téléphonie mobile et que les courriels semblent avoir été envoyés depuis Yahoo Mail pour Android, et non depuis le client de messagerie natif. La société n’exclut pas la possibilité qu’une application malveillante passe par Yahoo Mail ou qu’il y ait une faille de sécurité dans l’application Yahoo, mais elle n’a trouvé aucune preuve pour le prouver.
Que la menace existe ou non, les gens de Yahoo ont déjà commencé une enquête pour voir si l’application Android présente des failles de sécurité qui permettraient l’envoi massif de déchets électroniques.