Symantec lance un avertissement sur l'apparition d'un cheval de Troie pour Android qui envoie des SMS à des numéros surtaxés. Le virus modifie son code à chaque téléchargement. Cette technique est connue comme le polymorphisme serveur et a existé pendant des années sur les malwares pour PC. Les cyber-criminels commencent à l'adopter pour les mobiles. A la différence du polymorphisme local où le malware modifie son code à chaque fois qu'il est exécuté, le polymorphisme serveur transforme certaines parties du cheval de Troie à chaque téléchargement.

Symantec a identifié plusieurs variantes de ce trojan, sous le nom Android.Opfake. Ils ont tous été distribués depuis des sites russes. Néanmoins, le malware contient des instructions pour envoyer automatiquement des messages SMS à des numéros surtaxés dans différents pays européens.  Le problème de cette transformation à chaque téléchargement est que les solutions antivirus n'arrivent pas à détecter les malwares, car elles s'appuient sur les signatures statiques des trojan, explique Vikram Thakur, principal responsable de la sécurité chez Symantec. Il ajoute « la sophistication du polymorphisme nécessite des contre-mesures plus intelligentes ». Dans le cas d'Android.Opfake, le niveau de changement n'est pas très élevé, car une partie des fichiers sont modifiés depuis le serveur de distribution.

Les menaces PC se déplacent vers les mobiles

« Si les fournisseurs d'antivirus placent leur outil de détection sur le fichier exécutable et les éléments statiques, tous les fichiers seront détectés avec succès », a déclaré Tim Armstrong, chercheur spécialisé sur les malware chez Kaspersky Lab. « Cependant, si le code exécutable du cheval de Troie est également polymorphe, la détection sera plus difficile » avoue-t-il. Selon lui, le polymorphisme serveur n'est pas très répandu sur la plateforme Android pour le moment car la plupart des utilisateurs obtiennent leurs applications via l'Android Market.

Google vient d'ailleurs de renforcer la sécurité de sa boutique applicative avec un outil baptisé Bouncer. Il sera chargé de scanner l'Android Market à la recherche de malware et analysera aussi les applications proposées par les développeurs. Pour Jamz Yaneza, directeur de recherche chez Trend Micro, estime que « les attaques vers les mobiles évoluent très vite, ce qui est logique, car les auteurs de malware vont là où il y a de l'argent » et d'ajouter « les possesseurs de smartphones doivent être conscients qu'ils seront soumis aux mêmes menaces que sur leur PC ».