Doctor Web : aperçu des menaces mobiles pour le mois de septembre 2018

le 28 septembre 2018

En septembre 2018, les analystes ont détecté beaucoup de Trojans sur le catalogue Google Play. Ce mois a également été marqué par la détection de malwares bancaires ciblant Android. Egalement en septembre, la propagation d'un Trojan espion. La base virale Dr.Web s'est enrichie d’entrées pour la détection de nouvelles versions de logiciels espions commerciaux connus.

Menace " mobile " du mois

En septembre 2018, les utilisateurs d'appareils mobiles Android ont été menacés par le Trojan espion Android.Spy.460.origin, connu des analystes de Doctor Web depuis le mois de juin 2018. Ce malware se propage en utilisant les sites frauduleux depuis lesquel il est téléchargé sous couvert d’applications système comme par exemple, le logiciel portant le nom " Google Carrier Service".

Android.Spy.460.origin surveille les échanges via SMS, la géoposition de l'appareil contaminé, écoute les appels téléphoniques, enregistre l'environnement avec le micro embarqué, vole des données du répertoire, du calendrier et transmet aux pirates l'historique du navigateur web ainsi que les marque-pages enregistrés.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.Backdoor.682.origin

Android.Backdoor.1572

Trojans qui exécutent les commandes des pirates et leur permettent de contrôler les appareils mobiles contaminés.

Android.HiddenAds

Trojans conçus pour afficher des publicités. Ils sont propagés sous couvert d’applications populaires par d'autres programmes malveillants, qui, dans certains cas, les installent dans le répertoire système à l'insu de l'utilisateur.

Android.Mobifun.4

Trojan qui télécharge d'autres logiciels malveillants.

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Modules de programmes indésirables intégrés à des applications Android et conçus pour afficher des publicités sur les mobiles.

Menaces sur Google Play

Au cours du mois écoulé, beaucoup de programmes malveillants ont été détectés sur Google Play. Les analystes de Doctor Web y ont une fois de plus détecté des Trojans de la famille Android.Click diffusés par les pirates sous couvert d’applications officielles de bookmakers. En plus des versions déjà connues de ces chevaux de Troie (lire l’article du mois d’août), les analystes ont enregistré 17 nouvelles modifications. Au total, ces applications malveillantes ont été téléchargées par au moins 62 000 utilisateurs.

Au lancement, ces Trojans téléchargent des sites de bookmakers sur commande de leur serveur de gestion et les affichent à l'utilisateur. De plus, le serveur est en mesure d’envoyer à tout moment une commande d’ouverture d’un autre site Internet.

Septembre a également vu la détection du Trojan Android.Click.265.origin. Nous l'avons signalé aux utilisateurs le mois dernier. Android.Click.265.origin télécharge des sites proposant des services premium et il abonne les utilisateurs à ces services onéreux. Pour ce faire, il clique automatiquement sur les boutons placés sur les sites visités pour confirmer l'accès aux services payants. En septembre, les malfaiteurs ont diffusé ce malware en le faisant passer pour les applications officielles des sociétés Citylink, MODIS et O'STIN.

Un autre Trojan ayant des fonctionnalités similaires à celles d’Android.Click.265.origin a reçu le nom Android.Click.223.origin. Les pirates l'ont diffusé sous couvert de logiciels inoffensifs des sociétés Gloria Jeans et YOURS.

Au mois de septembre, quelques Trojans bancaires ont de nouveau été détectés sur Google Play : Android.Banker.2855 et Andoid.Banker.2856 ont été diffusés sous couvert d’utilitaires et de programmes-horoscopes. Ces programmes malveillants extraient et exécutent un malware bancaire qui vole les identitifants des comptes d’organismes de crédit.

Un autre banker Android découvert sur Google Play en septembre a reçu le nom Android.Banker.283.origin. Les auteurs de virus l'ont diffusé sous couvert d’une application officielle d'une institution de crédit turque.

Spyware

Parmi les autres menaces détectées en septembre, de nouvelles versions de logiciels espions tels que Program.SpyToMobile.1.origin, Program.Spy.11, Program.GpsSpy.9, Program.StealthGuru.1, Program.QQPlus.4, Program.DroidWatcher.1.origin, Program.NeoSpy.1.origin, Program.MSpy.7.origin et Program.Spymaster.2.origin. Ils sont conçus pour la surveillance discrète des propriétaires d'appareils mobiles fonctionnant sous Android. Ces applications permettent aux malfaiteurs d'intercepter des échanges SMS, de suivre les appels téléphoniques et la géoposition des Smartphones et tablettes, d'obtenir un accès à l'historique des navigateurs et aux marque-pages sauvegardés, de copier les contacts du répertoire ainsi que de voler d'autres informations confidentielles.

Les cybercriminels créent constamment de nouveaux Trojan et des programmes potentiellement dangereux qu'ils utilisent pour infecter les Smartphones et tablettes Android. Un grand nombre de ces applications continuent à apparaître sur le catalogue Google Play. Pour protéger les Smartphones et tablettes, nous recommandons aux utilisateurs d’installer des produits antivirus Dr.Web pour Android.