Le 24 mars 2014

Les analystes de Doctor Web ont découvert un nouveau procédé pour gagner de l'argent sur le marché noir chinois. Les malfaiteurs ajoutent des fonctionnalités et des adwares à des applications populaires et installent des applications et logiciels à l’insu de l’utilisateur afin d’augmenter significativement le trafic sur les sites web qui distribuent ces applications. Ce qui leur permet de générer des gains. Pour atteindre ces objectifs, les malfaiteurs utilisent divers downloaders, dont les spécialistes de Doctor Web ont trouvé un groupe.

La position clé dans ce groupe est occupée par Android.DownLoader.49.origin, qui représente une application Android originale. Après son installation comme un processus système, ce Trojan télécharge depuis le serveur distant une liste d'applications qu'il doit installer. Parmi elles se trouvent plusieurs archives, contenant les fichiers dex, qui seront placés dans le dossier /cache/sysjar/puis, à l'aide de DexClassLoader, seront chargés dans la mémoire vive de l'appareil mobile. Un de ces fichiers représente un Trojan downloader, ajouté à la base virale de Doctor Web sous le nom Android.DownLoader.43.origin et conçu pour télécharger des applications. Un autre fichier est un dropper qui, s’il possède l'accès root, peut installer des malwares dans le catalogue système.

En plus de ces archives, Android.DownLoader.49.origin peut télécharger d’autres applications, qui seront installées sans l'autorisation de l'utilisateur. Si ce malware n'a pas d'accès root, il affichera la requête standard pour l'installation du logiciel téléchargé.

Le Trojan Android.DownLoader.43.origin est également capable de se connecter à un serveur distant afin de recevoir une liste d'applications à télécharger sur l'appareil mobile infecté. Il est à noter que cette liste inclut également d’autres downloaders avec des fonctionnalités similaires. Ainsi, les cybercriminels ont créé une chaîne de logiciels malveillants qui se distribuent les uns les autres, et promeuvent les applications d’autres pirates. Au total, les spécialistes de Doctor Web ont découvert environ 10 downloaders et le serveur des malfaiteurs comprend à peu près 600 applications / logiciels, conçus pour être installés sans autorisation de l’utilisateur.

Le but de ce schéma est l'installation non autorisée d’applications sur les appareils mobile afin de les promouvoir et de générer des gains sur le nombre d'installations. Il est possible que les malfaiteurs ajoutent à la liste des applications à installer des Trojans SMS et des Trojans espions, qui peuvent contribuer à augmenter encore leurs gains.

Dr.Web pour Android détecte toutes les menaces énumérées.

Protégez votre Appareil Android avec Dr.Web