le 25 juillet 2013

Doctor Web rapporte que plusieurs applications malveillantes, qui peuvent installer sur les appareils mobiles des Trojans de la famille Android.SmsSend, envoyant des SMS payants, ont été détectées sur Google Play. Google a été rapidement informé de l'incident.

Les applications découvertes appartiennent au développeur vietnamien AppStore Jsc et représentent deux lecteurs audio et lecteurs vidéo pour regarder des clips érotiques.

Le tableau ci-dessous donne des données sur le nombre de téléchargements de ces applications, en se basant sur les statistiques de Google Play :

Le total d'installations varie entre 11 et 25 000.

Ces applications sont standards mais intègrent un fichier apk caché, qui représente un Trojan de la famille Android.SmsSend. Lors du fonctionnement de ces « logiciels-porteurs », ajoutés à la base virale Dr.Web sous le nom d’ Android.MulDrop, Android.MulDrop.1 et Android.MulDrop.2, il est proposé aux utilisateurs de télécharger le contenu en question, mais après la confirmation, le logiciel télécharge une nouvelle application. Par exemple, un des dropper propose de recevoir de nouvelles vidéos érotique.

Si l'utilisateur confirme l'installation de l'application, le Trojan Android.SmsSend.517 sera installé sur l'appareil mobile. Ce Trojan envoie des SMS au numéro court 8775, spécifié dans le fichier de configuration du malware. Le Trojan n'empêche pas de visionner le contenu proposé. En ajoutant cette possibilité, les attaquants dissimulent encore plus l’aspect malveillant de l’application.

Quant à la deuxième et troisième applications qui contiennent des programmes malveillants Android.SmsSend.513.origin, ils agissent de la même façon que le Trojan Android.SmsSend.517 mais reçoivent les numéros courts du serveur de gestion.

Google a été informé de l'incident. Les utilisateurs des produits antivirus Dr.Web pour Android sont protégés contre ces programmes malveillants, ajoutés à la base virale.