Baptisé « Geinimi », ce malware semble être le premier à disposer de fonctionnalités de type botnet ciblant la plate-forme Android, a déclaré Kevin Mahaffey, directeur technique chez Lookout Mobile Security, un éditeur qui développe des logiciels de sécurité mobile. Geinimi semble particulièrement cibler les utilisateurs Android de langue chinoise, et l'éditeur Lookout a été informé de cette petite nouveauté suite au message envoyé par un utilisateur sur un forum ; précise Kevin Mahaffey. Loin de nous l'idée de paniquer les possesseurs de smartphones Android, ni de devenir le porte-parole patenté des éditeurs d'antivirus, mais la rédaction du Monde Informatique fait simplement son travail de veille technologique et l'arrivée de ce type de Trojan, généralement dissimulé dans certains jeux gratuits, n'est pas vraiment une surprise.

Ainsi les chercheurs de Lookout, qui ont publié une note sur Geinimi, ont constaté que le malware était dissimulé dans des jeux gratuits et payants pour Android, peut-être même à l'insu des développeurs. « Nous avons été en contact avec les développeurs pour les informer du problème», a déclaré Kevin Mahaffey. Ces jeux altérés apparaissant généralement sur les sites web de tiers proposant des applications Android qui n'ont pas été contrôlées comme c'est le cas pour l'Android Market de Google. Certains de ces programmes ont déjà été téléchargés des milliers de fois.

Des objectifs encore mystérieux

L'éditeur d'antivirus analyse toujours les caractéristiques de Geinimi, et le but final des créateurs du malware n'est pas très clair. Mais plusieurs aspects de ce logiciel malveillant suffisent déjà à susciter des inquiétudes. Le malware en question communique avec un serveur central de commandement et de contrôle. Ce dernier peut envoyer à distance des commandes à un smartphone Android, comme télécharger ou désinstaller un logiciel. L'utilisateur du terminal mobile est toutefois invité à approuver cette action, mais cette petite sécurité suscite encore des préoccupations, explique Kevin Mahaffey. « Il pourrait s'agir d'un vecteur susceptible d'installer d'autres logiciels potentiellement malveillants ».

Toutes les 5 minutes, Geinimi envoie également des informations sur la géolocalisation de l'appareil Android et d'autres éléments identificateurs, tels que le numéro IMEI ( International Mobile Equipment Identity) et les références de la carte SIM. Il peut également envoyer la liste de toutes les applications installées sur le terminal. Pour envoyer ces données, le malware peut contacter jusqu'à 10 noms de domaine pour brouiller les pistes et se connecter au serveur distant. Si Geinimi a la capacité de contacter plusieurs domaines différents pour récupérer des instructions sur un serveur de commandement et de contrôle, le spécialiste en sécurité de Lookout estime qu'il a bien les capacités d'un botnet. Pourtant, Geinimi n'a pas encore clairement révélé ses objectifs qui pourraient être autres que le simple vol de données. L'éditeur poursuit son travail d'analyse. Il pourrait par exemple s'agir d'une campagne de publicité de type spam très intrusive reposant sur une technologie botnet.