Le développement de malware sur Android est en continuelle progression selon les rapports de plusieurs sociétés de sécurités, F-Secure, Kaspersky ou Symantec. La phase d'industrialisation de cette menace semble être de plus en plus proche avec la découverte sur le marché underground d'une boîte à outil nommé Dendroid. Cette dernière permet aux cybercriminels de transformer facilement une application Android en un malware. Elle peut être utilisée pour créer des applications « trojan » qui se connectent via HTTP à un serveur de commandes et de contrôle et donne la possibilité aux attaquants d'exécuter une série d'actions malveillantes sur les terminaux infectés.

Dendroid est commercialisé par ses créateurs comme un outil d'administration à distance (RAT pour Remote Administration Tool) et il est vendu à 300 dollars, souligne un blog de Symantec. Les acheteurs reçoivent un outil appelé « APK Binder » qui ajoute les fonctionnalités RAT Dendroid et les autorisations nécessaires à une APK (Android application package) saine. Le module comprend aussi l'accès un tableau de contrôle PHP pour avoir une gestion détaillée des terminaux compromis. Les méfaits rendus par Dendroid sont multiples : la suppression des logs d'appels et les fichiers, appeler des numéros de téléphone, ouvrir des pages web, enregistrer des appels depuis le microphone, intercepter des messages texte, prendre et télécharger des photos et des vidéos, l'ouverture d'applications et le lancement du flux HTTP pour des attaques en déni de service.

Une industrialisation des exploits sur Android

Pour les analystes, Dendroid n'est pas le premier RAT Android découvert, mais il est un des plus sophistiqués à ce jour. « Dendroid est un outil d'accès à distance amélioré clairement réalisé dans un but commercial », a déclaré Bogdan Botezatu, analyste spécialisé dans l'e-menace chez Bitdfender. Il ajoute « si Dendroid s'apparente à Androrat, il semble beaucoup plus stable et facilite la gestion d'un pool de mobiles zombies par les cybercriminels ». Pour lui, il y a également un autre aspect intéressant, « le fait que Dendroid est livré comme un service, alors que l'acheteur reçoit le constructeur de bot.  Le panneau de contrôle est hébergé par l'équipe derrière Dendroid sur des serveurs privés virtuels externalisés ». Selon le consultant, la commercialisation de ce type de solutions DIY (do it yourself) montre que le paysage des malwares pour Android change. Techniquement parlant, les malwares Android ont à peu près suivi les traces des malwares Windows, constate Bogdan Botezatu.

Si Google essaye d'améliorer la sécurité des applications présentes sur Google Play, il existe encore de multiples techniques pour inciter les utilisateurs à télécharger des applications malveillantes. On connaît les risques de téléchargement d'apps sur des boutiques tierces en Chine ou en Russie. Dernière méthode en date, la pré-installation de trojan sur les terminaux. Marble Security, société spécialisée dans la sécurité, a trouvé une fausse application Netflix déjà installée sur des terminaux de plusieurs marques, Samsung, Motorola Mobility et LG . La société estime que l'application aurait été installée sur les smartphones à un moment dans la chaîne de logistique en Chine.