Menaces ciblant les appareils mobiles

Eminence grise Baohuo. Une porte dérobée Android prend le contrôle total des comptes Telegram

Thu, 23 Oct 2025 13:36:55 GMT

le 23 octobre 2025

Doctor Web a identifié une porte dérobée dangereuse Android.Backdoor.Baohuo.1.origin dans les versions du messager Telegram X modifiées par les pirates. En plus de la possibilité de voler des données confidentielles, y compris le login et le mot de passe de l'utilisateur, ainsi que l'historique de la correspondance, ce logiciel malveillant possède un certain nombre de fonctionnalités uniques. Par exemple, pour empêcher sa détection et le fait de compromettre le compte, Android.Backdoor.Baohuo.1.origin est capable de masquer les connexions des appareils tiers dans la liste des sessions Telegram actives. De plus, il peut ajouter et exclure un utilisateur des canaux Telegram, entrer et sortir des chats en son nom, en masquant ces actions. En fait, avec son aide, les attaquants obtiennent un contrôle total sur le compte et sur les fonctions de messagerie de la victime, tandis que le cheval de Troie lui-même est un outil pour gonfler le nombre d'abonnés dans les canaux Telegram. Les cybercriminels contrôlent la porte dérobée, y compris via la base de données Redis, ce qui n'a jamais été vu auparavant dans les menaces ciblant Android. Nos experts estiment que le nombre total d'appareils contaminés par Android.Backdoor.Baohuo.1.origin a dépassé 58 000.

La propagation d’Android.Backdoor.Baohuo.1.origin a commencé à la mi-2024, comme en témoignent les modifications antérieures trouvées lors de son analyse. La principale façon de fournir la porte dérobée aux appareils cibles est de faire de la publicité à l'intérieur des applications mobiles. Les victimes potentielles voient des annonces qui proposent d'installer le messager Telegram X. Lorsqu'ils cliquent sur la bannière, les utilisateurs sont redirigés vers des sites malveillants à partir desquels le fichier APK de cheval de Troie est téléchargé.

Ces sites sont conçus dans le style d'une boutique d'applications, et le messager lui-même y est positionné comme une plateforme de recherche pratique d'un partenaire pour la communication et les dates. Ceci est mis en évidence à la fois par des bannières avec du texte publicitaire sur les « chats vidéo gratuits » et des invitations à « parler » (par exemple, sous le couvert de captures d'écran de la fenêtre d'appel vidéo), et par des critiques d'utilisateurs prétendument satisfaits écrites par des malfaiteurs. Il est à noter que les pages Web offrent une possibilité de choisir la langue de conception, mais les images elles-mêmes ne changent pas.

L'un des sites malveillants à partir desquels la version Trojan de Telegram X est téléchargée. Les victimes potentielles sont invitées à installer un programme où, selon les « avis », il est facile de trouver un partenaire pour la communication et les rencontres

Actuellement, les cybercriminels ont préparé des modèles standard avec des bannières pour seulement deux langues : le portugais avec un accent sur les utilisateurs du Brésil, ainsi que l'indonésien. Ainsi, les habitants du Brésil et de l'Indonésie sont la cible principale des attaquants. Néanmoins, il ne peut être exclu qu'au fil du temps, l'intérêt des attaquants se propage aux utilisateurs d'autres pays.

L'étude de l'infrastructure réseau des attaquants a permis de déterminer l'ampleur de leurs activités. En moyenne, les analystes de Doctor Web observent environ 20 000 connexions actives d’Android.Backdoor.Baohuo.1.origin. Dans le même temps, le nombre total d'appareils contaminés a dépassé 58 000. Environ 3 000 modèles différents de smartphones, de tablettes, de décodeurs et même de voitures avec des ordinateurs de bord basés sur Android ont été infectés.

Pays avec le plus grand nombre d'appareils contaminés par Android.Backdoor.Baohuo.1.origin (selon le laboratoire antivirus de Doctor Web)

Cependant Android.Backdoor.Baohuo.1.origin ne se propage pas seulement via des sites malveillants : nos experts l'ont trouvé dans des répertoires tiers d'applications Android — par exemple, APKPure, ApkSum et AndroidP. Notamment, il est publié dans la boutique APKPure pour le compte du développeur officiel de messenger, malgré le fait que les signatures numériques de l'original et de la modification du cheval de Troie sont différentes. Nous avons notifié les plateformes en ligne où des versions cheval de Troie de Telegram X ont été trouvées.

Le Telegram X modifié avec d’Android.Backdoor.Baohuo.1.origin, qui peuvent être divisées en 3 groupes principaux de modifications Telegram X :

Le laboratoire antivirus de Doctor Web a identifié plusieurs variantes Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

versions dans lesquelles les attaquants ont intégré une porte dérobée dans le fichier principal DEX exécutable du messager,
versions dans lesquelles la porte dérobée sous la forme d'un patch est intégrée dynamiquement dans le fichier DEX exécutable à l'aide de l'utilitaire LSPatch,
versions dans lesquelles la porte dérobée se trouve dans un fichier DEX séparé, dans le répertoire avec les ressources du programme et est chargée dynamiquement.

Quel que soit le type de modification, Android.Backdoor.Baohuo.1.origin est initialisé lors du lancement du messager lui-même. Le messager reste opérationnel et ressemble à un programme régulier pour les utilisateurs. Cependant, en réalité, les attaquants par la porte dérobée la contrôlent complètement et peuvent même changer la logique de son fonctionnement.

Lorsque les cybercriminels doivent effectuer une action qui ne nécessite pas d'interférence avec la fonctionnalité principale du programme, des « miroirs » pré-préparés des méthodes d'application nécessaires sont utilisés. Par exemple, ils peuvent être utilisés pour afficher des messages d'hameçonnage dans des fenêtres qui ne seront pas différentes des vraies fenêtres Telegram X.

Les méthodes sont des blocs de code distincts dans la structure des applications Android qui sont responsables de l'exécution de certaines tâches.

Si l'action n'est pas standard pour le programme, alors le framework Xposed est utilisé, ce qui modifie directement une fonctionnalité de messagerie particulière par le biais d'une modification dynamique des méthodes. En particulier, il masque certains chats et appareils autorisés, et intercepte le contenu du presse-papiers.

La principale différence entre les premières versions de l'application malveillante et les versions actuelles réside dans la gestion du cheval de Troie. Dans les anciennes versions, la communication avec les pirates et la réception des tâches de leur part sont mises en œuvre de manière traditionnelle — via un serveur C2. Cependant, au fil du temps, les auteurs de virus ont ajouté à Android.Backdoor.Baohuo.1.origin une option permettant d'envoyer des commandes supplémentaires via la base de données Redis, élargissant ainsi ses fonctionnalités et fournissant deux canaux de contrôle indépendants. Dans le même temps, ils ont prévu la duplication de nouvelles commandes via un serveur C2 standard au cas où la base de données ne serait pas disponible. C'est le premier fait connu de l'utilisation de Redis pour gérer des logiciels malveillants ciblant Android.

Au démarrage, Android.Backdoor.Baohuo.1.origin se connecte au serveur C2 initial pour télécharger la configuration, qui contient entre autres des données pour se connecter à Redis. Via cette base de données, les attaquants envoient non seulement certaines commandes à une application malveillante, mais mettent également à jour les paramètres du cheval de Troie. Notamment, ils attribuent l'adresse du serveur C2 actuel, ainsi que du serveur NPS (Network Policy Server - serveur de politique réseau). Ce dernier est utilisé par les auteurs de virus pour connecter les appareils infectés à leur réseau interne (intranet) et les transformer en proxy pour accéder à Internet.

Android.Backdoor.Baohuo.1.origin communique périodiquement avec le serveur C2 via des appels API et peut recevoir les tâches suivantes :

télécharger les SMS entrants et les contacts de l'annuaire téléphonique d'un appareil infecté vers le serveur C2,
envoyer le contenu du presse-papiers au serveur lorsque la fenêtre du messager est minimisée et lorsque l'on rentre à sa fenêtre,
recevoir du serveur C2 des adresses Internet pour afficher de la publicité, ainsi que l'adresse du serveur pour télécharger les mises à jour du cheval de Troie sous la forme d'un fichier DEX exécutable,
obtenir des clés de chiffrement qui sont utilisées lors de l'envoi de certaines données au serveur C2 - par exemple, le contenu du presse-papiers,
demander un groupe de commandes pour collecter des informations sur les applications installées sur l'appareil, l'historique des messages, les contacts de l'annuaire téléphonique de l'appareil et sur les appareils sur lesquels le Telegram est connecté (la demande est exécutée avec un intervalle de 30 minutes),
demander un lien au serveur C2 pour télécharger la mise à jour Telegram X,
demander une configuration au serveur C2, qui est enregistrée en tant que fichier JSON,
demander des informations à partir de la base de données Redis,
uploader sur le serveur C2 des informations sur l'appareil à chaque activité réseau du messager,
obtenir une liste de bots du serveur C2, qui sont ensuite ajoutés à la liste de contacts Telegram,
toutes les 3 minutes, transmettre au serveur des informations sur les autorisations actuelles de l'application, l'état de l'appareil (si l'écran est allumé ou éteint, si l'application est active), ainsi que le numéro de téléphone mobile avec le nom et le mot de passe du compte Telegram,
demander des commandes toutes les minutes dans un format similaire aux commandes de la base de données Redis.

Pour recevoir des commandes via Redis, Android.Backdoor.Baohuo.1.origin se connecte au serveur correspondant des intrus, où il enregistre son sous-canal — les cybercriminels s'y connectent plus tard. Ils y publient des tâches, que la porte dérobée effectue ensuite. Le logiciel malveillant peut recevoir les commandes suivantes :

créer une liste noire de chats qui ne seront pas affichés pour l'utilisateur dans la fenêtre Telegram X,
masquer les appareils spécifiés de l'utilisateur dans la liste des appareils autorisés pour son compte,
bloquer pour une durée spécifiée l'affichage des notifications des chats mentionnés dans la liste noire créée,
afficher une fenêtre avec des informations sur la mise à jour de l'application Telegram X — lorsqu'un utilisateur clique dessus, il sera redirigé vers un site spécifié,
envoyer des informations sur toutes les applications installées au serveur C2,
réinitialiser la session actuelle d'authentification de l'utilisateur dans Telegram sur l'appareil infecté,
afficher une fenêtre avec des informations sur la mise à jour de l'application Telegram X, où l'utilisateur est invité à installer le fichier APK (si le fichier est manquant, le cheval de Troie le pré-télécharge),
supprimer l'icône Telegram Premium de l'interface de l'application de l'utilisateur actuel,
télécharger des informations à partir des bases de données Telegram X qui stockent l'historique des discussions, les messages et d'autres données confidentielles sur le serveur C2,
abonner l'utilisateur à un canal Telegram spécifié,
quitter un canal Telegram spécifié,
rejoindre le chat Telegram au nom de l'utilisateur en utilisant un lien spécifié,
obtenir une liste des appareils sur lesquels l'authentification dans Telegram a été effectuée,
demander de recevoir le jeton d'authentification de l'utilisateur et le transférer au serveur C2.

Il est à noter que l'interception des données du presse-papiers, lorsque l'utilisateur minimise le messager ou bien retourne à sa fenêtre, permet de mettre en œuvre divers scénarios de vol de données confidentielles. Par exemple, une victime peut copier un mot de passe ou une phrase mnémonique pour se connecter à un portefeuille cryptographique, le texte d'un document important à envoyer à des partenaires commerciaux par courrier, etc., et le cheval de Troie interceptera les données restantes dans le tampon et les transférera aux attaquants.

Dr.Web Security Space pour les appareils mobiles détecte avec succès toutes les modifications connues d'Android.Backdoor.Baohuo.1.origin, il ne représente donc aucun danger pour les utilisateurs Dr.Web.

Plus d'info sur Android.Backdoor.Baohuo.1.origin
Indicateurs de compromission

Doctor Web : rapport viral sur les menaces pour appareils mobiles du 3eme trimestre 2025

Wed, 01 Oct 2025 00:00:00 GMT

le 1er octobre 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au 3eme trimestre 2025, les Trojans Android.MobiDash affichant des publicités intempestives ont été les plus répandus. Par rapport au trimestre précédent, on observe une hausse de 18,19 % des détections sur les appareils des utilisateurs.

La deuxième place est occupée par les Trojans publicitaires Android.HiddenAds, dont l'activité est en baisse pour le deuxième trimestre consécutif. Au cours des trois derniers mois, leur détection chez les utilisateurs a chuté de 71,85 %. Ces applications malveillantes masquent leurs icônes pour les rendre plus difficiles à détecter et à supprimer, et affichent des publicités, y compris des vidéos en plein écran.

Les faux programmes malveillants Android.FakeApp, que les attaquants utilisent dans divers stratagèmes frauduleux, sont à nouveau à la troisième place. Le nombre de leurs détections a diminué de 7,49%. Au lieu de la fonctionnalité déclarée, ces chevaux de Troie chargent souvent divers sites Web, notamment, des sites frauduleux et malveillants, ainsi que des sites Web de casinos en ligne et de bookmakers.

Les chevaux de Troie bancaires les plus répandus restent les représentants de la famille Android.Banker, malgré une baisse de l'activité de 38,88 %. Les attaquants les utilisent pour accéder illégalement à des comptes bancaires et voler de l'argent. Ces chevaux de Troie peuvent afficher des fenêtres d'hameçonnage pour voler des identifiants et des mots de passe, imiter l'apparition de véritables programmes banque-client, intercepter des messages SMS pour obtenir des codes à usage unique, etc.

Ils sont suivis des chevaux de Troie Android.BankBot, qui ont été détectés 18,91 % plus souvent. Ils tentent également d'accéder aux comptes bancaires en ligne des utilisateurs en interceptant les codes de confirmation. Dans le même temps, ces chevaux de Troie bancaires peuvent exécuter diverses commandes de cybercriminels, et certains d'entre eux permettent de contrôler à distance les appareils infectés.

Le top trois est complété par les représentants de la famille Android.SpyMax basés sur le code source du cheval de Troie espion SpyNote. Ils ont été détectés 17,25 % moins souvent qu'au deuxième trimestre. Ces programmes malveillants ont un large éventail de fonctionnalités malveillantes, y compris la possibilité de contrôler à distance des appareils.

En août, nous avons rapporté une campagne visant à diffuser la porte dérobée multifonctionnelle Android.Backdoor.916.origin, que les cybercriminels utilisent pour voler des données confidentielles et espionner les utilisateurs d'appareils Android. Les attaquants ont envoyé des messages aux victimes potentielles via divers messagers, proposant d'installer un « antivirus » à partir d'un fichier APK joint. Le laboratoire antivirus de Doctor Web a découvert les premières versions de ce programme malveillant en janvier 2025 et continue de suivre son développement depuis. Selon nos experts, la porte dérobée est utilisée dans des attaques ciblées et n'est pas destinée à une distribution de masse. Les représentants des entreprises russes constituent la principale cible des cybercriminels.

Au cours du troisième trimestre, de nombreuses applications malveillantes et indésirables ont été publiées sur Google Play, et ont été installées plus de 1 459 000 fois. Parmi eux, on voit des dizaines de chevaux de Troie Android.Joker, qui abonnent leurs victimes à des services payants, on voit également de faux programmes Android.FakeApp. De plus, nos analystes de virus ont identifié un nouveau programme prétendument capable de convertir des récompenses virtuelles en argent réel.

Tendances principales du 3eme trimestre

Les chevaux de Troie publicitaires Android.MobiDash sont devenus les menaces les plus courantes
L'activité des chevaux de Troie publicitaires Android.HiddenAds continue de diminuer
Le nombre d'attaques par des chevaux de Troie bancaires de la famille Android.BankBot a augmenté
L'activité des chevaux de Troie bancaires Android.Banker et Android.SpyMax a diminué
Les pirates ont utilisé la porte dérobée multifonctionnelle Android.Backdoor.916.origin pour mener des attaques sur les représentants des entreprises russes
Propagation d'un grand nombre de programmes malveillants sur Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web d’un casino en ligne.
Android.Click.1812: Détection de mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur peut charger différents sites en arrière-plan.
Android.HiddenAds.673.origin: Trojan qui est conçu pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires cachent généralement leur présence dans le système, notamment en masquant l'icône de l'application dans le menu de l'écran d'accueil.
Android.Triada.5847: Détection d'un Trojan packer de la famille Android.Triada, conçu pour protéger les Trojans contre l'analyse et la détection. Le plus souvent, les attaquants l'utilisent en conjonction avec des mods malveillants du messager Telegram, dans lesquels ces chevaux de Troie sont directement intégrés.

Program.FakeMoney.11: Applications prétendant permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles simulent l'accumulation de récompenses, mais pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, ils ont une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.CloudInject.5
Program.CloudInject.1: Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, le moddeur (l’utilisateur pratiquant le modding) reçoit une possibilité de contrôler ces programmes à distance — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.LuckyPatcher.2.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne, des bookmakers, ou des sites pour adultes.
Adware.Youmi.4: Détection d'un module publicitaire indésirable qui affiche des étiquettes publicitaires sur l'écran d'accueil des appareils Android.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent vers des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.

Menaces sur Google Play

Au troisième trimestre 2025, le laboratoire antivirus de Doctor Web a enregistré plus de 50 chevaux de Troie de la famille Android.Joker qui abonnent les internautes à des services payants dans le catalogue Google Play. Ils ont été distribués sous le couvert de divers logiciels, notamment des messageries instantanées, toutes sortes d'utilitaires système, des éditeurs d'images, des programmes de photographie, de traitement de documents, etc.

L'un des chevaux de Troie a été caché dans le programme d'optimisation du système Clean Boost (Android.Joker.2412), l'autre a été trouvé dans l'application Convert Text to PDF (Android.Joker.2422) conçu pour convertir du texte en documents PDF

De plus, nos spécialistes ont trouvé d'autres faux programmes Android.FakeApp ,utilisés dans des stratagèmes frauduleux. Comme auparavant, certains d'entre eux ont été présentés par les cybercriminels comme des applications financières — répertoires, tutoriels, logiciels pour accéder à des services d'investissement. Ces faux programmes chargeaient des sites frauduleux. D'autres Trojans Android.FakeApp ont été distribués sous le couvert de jeux et, sous certaines conditions, au lieu de la fonctionnalité promise, ils téléchargeaient des sites de bookmakers et de casinos en ligne.

Exemples de chevaux de Troie Android.FakeApp déguisés en applications financières. Android.FakeApp.1889 proposait aux utilisateurs de vérifier leur littératie financière, et Android.FakeApp.1890 invitait les internautes à développer la pensée financière

De plus, nos experts ont trouvé un programme indésirable Program.FakeMoney.16, qui a été distribué sous la forme de l'application Zeus Jackpot Mania. Les utilisateurs de ce logiciel recevaient des récompenses virtuelles, censées pouvoir être converties en argent réel et retirées de l'application.

Program.FakeMoney.16 dans le catalogue Google Play

Pour « retirer » l'argent, le programme a demandé un certain nombre de données, mais aucun paiement n'a finalement été reçu par la victime.

Program.FakeMoney.16 demande un nom d'utilisateur complet et des références de compte bancaire

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web présente son aperçu de l'activité virale ayant ciblé les appareils mobiles au deuxième trimestre 2025

Tue, 01 Jul 2025 01:00:00 GMT

le 1er juillet 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires de différentes familles étaient les logiciels malveillants les plus courants au deuxième trimestre 2025. L'activité la plus élevée a été observée de la part des représentants du groupe Android.HiddenAds, malgré le fait que les utilisateurs les rencontraient 8,62% moins souvent. Les trojans publicitaires Android.MobiDash sont en deuxième position, le nombre d'attaques avec leur participation a augmenté de 11,17 %. Les logiciels malveillants Android.FakeApp, qui sont utilisés dans divers stratagèmes frauduleux, suivent les deux premiers groupes — ils ont été détectés sur les appareils protégés 25,17 % moins souvent.

Une augmentation de l'activité des trojans bancaires Android.Banker de 73,15 % par rapport au trimestre précédent a également été enregistrée. Dans le même temps, un certain nombre d'autres familles ont été détectées moins souvent ; par exemple, Android.BankBot — de 37,19 % et Android.SpyMax — de 19,14 %.

En avril, nos analystes ont signalé une campagne à grande échelle visant à dérober des cryptomonnaies aux propriétaires de smartphones Android. Dans ce cadre, les attaquants ont introduit le cheval de Troie Android.Clipper.31 dans le firmware d'un certain nombre d'appareils, le cachant dans une version modifiée de l'application WhatsApp. Ce malware intercepte les messages envoyés et reçus dans le messenger, recherche dans les messages des adresses de portefeuilles cryptographiques Tron et Ethereum et en remplace par des adresses appartenant aux pirates. Le trojan cache cette substitution, et les utilisateurs d'appareils infectés voient dans ces messages des portefeuilles « corrects ». De plus, Android.Clipper.31 envoie toutes les images aux formats jpg, png et jpeg à un serveur distant afin d'y rechercher des phrases mnémoniques pour les portefeuilles cryptographiques des victimes.

Au mois d'avril, nous avons également parlé d'un cheval de Troie espion visant des militaires russes. Le malware Android.Spy.1292.origin сa été dissimulé derrière l'une des versions modifiées du logiciel de cartographie Alpine Quest. Il a été distribué à la fois via un faux canal Telegram appartenant aux attaquants, et via l'un des catalogues russes d'applications Android. Android.Spy.1292.origin transmettait diverses données confidentielles aux attaquants. Parmi celles-ci figuraient des comptes d'utilisateurs, leurs numéros de téléphone portable, les contacts de l'annuaire téléphonique, des informations sur la géolocalisation de l'appareil, ainsi que sur les fichiers qui y ont été stockés. Sur commande des attaquants, le cheval de Troie pouvait voler des fichiers spécifiés. En particulier, les auteurs de virus s'intéressaient aux documents confidentiels transmis par des messagers populaires, ainsi qu'au fichier journal de géolocalisation du programme Alpine Quest.

Au cours du deuxième trimestre, le laboratoire de Doctor Web a révélé de nouvelles menaces sur Google Play. Parmi eux on voit divers chevaux de Troie, ainsi que des logiciels publicitaires indésirables.

Tendances principales du deuxième trimestre

Diminution de l'activité des trojans publicitaires Android.HiddenAds
Augmentation de l'activité des trojans publicitaires Android.MobiDash
Les trojans bancaires Android.Banker ont été détectés sur les appareils protégés plus souvent qu'au trimestre précédent
Le nombre d'attaques des familles de trojans bancaires Android.BankBot et Android.SpyMax a diminué
Un trojan conçu pour voler de la cryptomonnaie a été détecté dans le firmware d'un certain nombre de smartphones Android
Les attaquants ont distribué un cheval de Troie qui espionnait les militaires russes
De nouvelles menaces ont été détectées sur Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: Trojans conçus pour afficher des publicités. Les représentant de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web du casino en ligne.

Program.FakeMoney.11: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, ils ont une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.CloudInject.1: Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application, conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.3
Tool.NPMod.1: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.
Tool.SilentInstaller.14.origin: Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Il n'est pas malveillant, mais peut être utilisé pour protéger les programmes inoffensifs et les chevaux de Troie.

Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.AdPush.3.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Basement.1: Applications affichant des publicités indésirables qui redirigent souvent vers des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.Jiubang.1: Logiciel publicitaire indésirable conçu pour les appareils Android, qui, lors de l'installation d'applications, affiche une bannière avec des programmes recommandés pour l'installation.

Menaces sur Google Play

Au cours du deuxième trimestre 2025, les analystes de Doctor Web ont détecté plusieurs dizaines de menaces dans le catalogue Google Play, y compris une variété de faux programmes Android.FakeApp. Ces chevaux de Troie ont de nouveau été activement distribués sous le couvert d'applications financières et au lieu des fonctionnalités promises, ils étaient en mesure de télécharger des sites frauduleux.

Android.FakeApp.1863 et Android.FakeApp.1859 sont des exemples de chevaux de Troie détectés. Le premier a été caché dans le programme TPAO ciblait les utilisateurs turcs, à qui il était proposé de « gérer facilement leurs dépôts et leurs revenus ». Les pirates tentaient de faire passer le deuxième trojan pour un « assistant financier » Quantum MindPro, conçu pour un public francophone

Les jeux restent une autre "couverture" courante pour de tels programmes contrefaits. Sous certaines conditions, au lieu d'exécuter des jeux, ils chargent des sites de casino ou de bookmaker en ligne.

Android.FakeApp.1840 (Pino Bounce) est l'un des faux jeux qui pouvait télécharger un site de casino en ligne

Dans le même temps, nos spécialistes ont identifié un nouveau logiciel publicitaire indésirable Adware.Adpush.21912. Il était caché dans le programme avec des documents d'information sur les cryptomonnaies Coin News Promax. Adware.Adpush.21912 affiche des notifications qui, lorsqu'elles sont cliquées, téléchargent un lien spécifié par le serveur de gestion dans WebView.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du 1er trimestre 2025

Thu, 27 Mar 2025 00:00:00 GMT

le 27 mars 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires Android.HiddenAds se sont avérés les logiciels malveillants ciblant Android les plus courants au premier trimestre de 2025. Dans le même temps, par rapport au quatrième trimestre de l'année dernière, ils ont été détectés sur des appareils protégés plus de deux fois plus souvent. La deuxième place revient aux applications malveillantes Android.FakeApp, que les attaquants utilisent dans divers stratagèmes frauduleux ; leur activité a augmenté de près de 8%. Les troisièmes sont les chevaux de Troie publicitaires Android.MobiDash, le nombre de leurs détections a presque été multiplié par 5.

Une dynamique similaire a été observée parmi de nombreux chevaux de Troie bancaires. Ainsi, une augmentation du nombre d'attaques menées par les représentants des familles Android.BankBot et Android.Banker a été constatée : de 20,6% et 151,7% respectivement. Dans le même temps, la détection des Trojans Android.SpyMax, dont l'activité avait augmenté presque tout au long de 2024, a baissé de 41,9 % par rapport au trimestre précédent.

Pendant les 3 derniers mois, les spécialistes de Doctor Web ont détecté des dizaines de nouvelles menaces sur Google Play. Avec le nombre traditionnellement élevé de chevaux de Troie Android.FakeApp, notre Laboratoire a trouvé sur Google Play des programmes malveillants conçus pour voler des crypto-monnaies, ainsi que des Trojans affichant de la publicité intrusive.

Tendances principales du 1er trimestre

Activité accrue des chevaux de Troie publicitaires
Augmentation du nombre d'attaques des Trojans bancaires Android.BankBot et Android.Banker
Diminution de l'activité des Trojans espions Android.SpyMax
Beaucoup de nouvelles applications malveillantes ont été détectées sur Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: Trojans conçus pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web de casino en ligne.
Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.

Program.FakeMoney.11
Program.FakeMoney.14: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Leur fonctionnement est bien connu. Ces applis simulent l'accumulation de récompenses, qui doivent permettre d’obtenir un certain montant à atteindre pour récupérer le gain. Généralement, ces applis proposent une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transformer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler le montant dit suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.1: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.Androlua.1.origin: Versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes en fonction des autorisations reçues.
Tool.SilentInstaller.14.origin: Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Il n'est pas malveillant, mais peut être utilisé pour protéger les programmes inoffensifs comme les chevaux de Troie.

Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.

Menaces sur Google Play

Au cours du 1er trimestre 2025, les analystes de Doctor Web ont détecté quelques dizaines d'applications malveillantes sur Google Play. Parmi elles, on voit diverses modifications des chevaux de Troie Android.HiddenAds.4213 et Android.HiddenAds.4215, qui masquent leur présence sur les appareils infectés et commencent à afficher des publicités par-dessus d'autres programmes et l'interface du système d'exploitation. Ces Trojans ont été dissimulés derrière des applications photo et vidéo avec divers effets, des éditeurs de photos, une collection d'images et un journal de santé féminine.

Trojans publicitaires Android.HiddenAds, cachés dans les programmes Time Shift Cam et Fusion Collage Editor

Nos spécialistes ont également détecté les logiciels malveillants Android.CoinSteal.202, Android.CoinSteal.203 et Android.CoinSteal.206, conçus pour voler des crypto-monnaies et distribués sous le couvert de logiciels officiels des plateformes blockchain Raydium et Aerodrome Finance, ainsi que de la bourse de crypto-monnaies Dydx.

Programmes Raydium et Dydx Exchange — Chevaux de Troie conçus pour voler des crypto-monnaies

Lorsqu'elles sont lancées, les applications malveillantes proposent aux victimes potentielles de saisir une phrase mnémotechnique (seed phrase) apparemment pour se connecter à un portefeuille de crypto-monnaies, mais en fait les données saisies sont transmises aux attaquants. Pour finalement induire les utilisateurs en erreur, les formulaires de saisie de phrases mnémoniques peuvent être déguisés en demandes provenant d'autres plateformes cryptographiques. Comme le montre l'exemple ci-dessous, Android.CoinSteal.206 a démontré un formulaire de phishing prétendument au nom de la bourse cryptographique PancakeSwap.

Dans le même temps, des programmes de contrefaçon de la catégorie Android.FakeApp ont de nouveau été diffusés sur Google Play. Beaucoup d'entre eux ont été présentés par les fraudeurs comme des applications financières, y compris des tutoriels, des outils pour accéder à des services d'investissement et des programmes de comptabilité pour ses finances personnelles. Ces applis ont téléchargé divers sites d'hameçonnage, y compris ceux utilisés par les pirates pour collecter des données personnelles.

Exemples des programmes malveillants Android.FakeApp, distribués sous le couvert de logiciel financier : «Умные Деньги» — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

D'autres Trojans Android.FakeApp ont téléchargé des sites de bookmakers et de casinos en ligne sous certaines conditions. De telles variantes de logiciels malveillants ont été distribuées sous le couvert de toutes sortes de jeux et d'autres logiciels — par exemple, un simulateur de frappe clavier rapide et un manuel de dessin. Parmi eux figuraient de nouvelles modifications du cheval de Troie Android.FakeApp.1669.

Exemples de logiciels malveillants contrefaits qui, au lieu de la fonctionnalité promise, pourraient charger des sites Web de casinos en ligne et de bookmakerses

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Rapport annuel 2024 sur les menaces mobiles

Thu, 30 Jan 2025 03:00:00 GMT

Le 30 janvier 2025

Comme chaque année, les menaces pesant sur les appareils mobiles sont nombreuses, des publicités intempestives ou malveillantes en passant par les Trojans bancaires, ransomwares, malwares « cliqueurs » et schémas frauduleux. En 2024, ces menaces ont été encore plus virulentes qu’en 2023, notamment les malwares bancaires.

Parmi les menaces les plus actives, on voit une recrudescence des applis qui intègrent des propositions de gagner des prix virtuels en effectuant quelques actions, prix supposés pouvoir être ensuite monétisés. Parmi les riskwares, on trouve des outils qui permettent de lancer des applis sans les installer, et parmi les adwares, on retrouve des versions fausses et malveillantes du messenger WhatsApp dont les fonctionnalités sont injectées via du code et qui permettent de charger des URL.

Google Play embarque encore malgré lui des applis vérolées, nos analystes en ayant détecté des centaines sur l’année 2024, avec environ 26,7 millions de téléchargements.

Au-delà des Smartphones tournant sous Android, les TV basées sur cet OS sont également les cibles des cybercriminels, tendance qui se confirme en 2024. Nos recherches mettent par exemple en lumière une backdoor infectant la zone de stockage du système et qui peut télécharger et installer des logiciels tiers, et qui a infecté plus d’un million de TV.

Globalement, les menaces ciblant Android se révèlent de plus en plus complexes à analyser et de plus en plus difficiles à détecter pour les antivirus. Les techniques employées par les pirates dans ce contexte incluent notamment diverses utilisations du format ZIP (les fichiers APK utilisés pour les applis Android sont basés sur le format ZIP), ainsi que des manipulations du fichier de configuration des apps AndroidManifest.xml. Ces méthodes ont été notamment souvent utilisées pour la création de Trojans bancaires.

PRINCIPAL TENDANCES DE 2024

Les malwares affichant des publicités non désirées sont les plus courants ;
Augmentation de l’activité des Trojans bancaires ;
Une utilisation et une manipulation accrue du format des APK et de leurs composants structurels pour éviter la détection par les antivirus et complexifier l’analyse des malwares ;
Augmentation de l’activité des rançongiciels de la catégorie Android.Locker et de celle des malwares « cliqueurs » Android.Click ;
Encore de nombreuses menaces sur Google Play.

Evénements les plus marquants en 2024

Dans cette section, nous mettons en lumière quelques-uns des malwares analysés par nos chercheurs afin d’illustrer les méthodes des cybercriminels et d’aider à la compréhension des mécanismes des malwares.

Fin mai 2024, nos chercheurs ont publié sur un Trojan « cliqueur », Android.Click.414.origin, trouvé dans une appli destinée à l’utilisation de sex toys ainsi que dans des applis de contrôle de son activité physique. Les deux programmes ont été postés sur Google Play et ont été installés par 1,5 millions d’utilisateurs. Le Trojan présent dans les apps possède une structure modulaire et peut exécuter certaines tâches. Par exemple, il charge de manière masquée des sites publicitaires et effectue des actions avec ces derniers comme du scrolling sur les pages des sites, entrer du texte dans des formulaires en ligne, couper l’audio des pages et prendre des captures d’écran de certaines pages afin de les étudier et de cliquer ensuite sur les zones souhaitées. De plus, le malware envoie des données sur les appareils qu’il infecte à un serveur de contrôle (C&C). enfin, le malware est programmé pour ne pas infecter les appareils des utilisateurs dont la langue installée est le chinois.

Versions des applis Love Spouse et QRunning programs embarquant Android.Click.414.origin trojan hidden in them

Au mois de septembre, nos chercheurs ont publié les résultats de leurs recherches sur la backdoor Android.Vo1d ciblant les décodeurs TV Android. Ce malware modulaire a touché environ 1,3 millions d’appareils dans 197 pays. Il plaçait ses composants dans la zone de stockage du système et pouvait télécharger et installer de manière masquée des logiciels tiers.

Pays les plus touchés par Android.Vo1d

Au mois de novembre 2024, nos analystes ont mis en lumière une technique de piratage utilisant le protocole DNS pour lier secrètement les Chevaux de Troie aux serveurs de contrôle. Android.FakeApp.1669 est un Trojan assez primitif dont la seule tâche est de charger des sites web. Mais la différence avec des malwares similaires est qu’il reçoit les adresses des sites qu’il doit charger depuis l’enregistrement TXT d’un serveur DNS malveillant. Pour ce faire, il utilise le code modifié d’une bibliothèque dnsjava open source. Autre particularité, il ne se révèle malveillant que lorsqu’il se connecte à Internet via certains fournisseurs.

Exemple de l’enregistrement TXT d’un domaine cible. Il est envoyé par le serveur DNS via la commande Linux “dig” alors que l'une des modifications d’Android.FakeApp.1669 est en cours d'analyse

Statistiques

D’après les statistiques recueillies par Dr.Web Security Space pour les appareils mobiles en 2024, 74,6% des menaces recensées sont des malwares (virus), viennent ensuite les Adwares (programmes « poussant » des publicités non désirées) représentant presque 11% des détections. En troisième position viennent les Risqwares avec 10,5% des détections et enfin, ce que nous nommons les « applications indésirables », c’est-à-dire que l’utilisateur n’a pas souhaité télécharger mais qui se chargent sur les appareils, arrivent en troisième position et représentent environ 4% des détections.

Programmes malveillants

Cette année encore, les programmes malveillants les plus répandus appartiennent à la catégorie des Trojans affichant des publicités de la famille Android.HiddenAds. Ils représentent 32% des détections.

Dans cette famille de malwares, la catégorie la plus active est Android.HiddenAds.3956 (15% des détections de la famille). C’est l’une des nombreuses variantes des malwares Android.HiddenAds.1994 connus depuis plusieurs années. Cette version en particulier, Android.HiddenAds.3956, a émergé en 2023 parmi d’autres modifications. En 2024, de nouvelles variantes sont apparues, dont : Android.HiddenAds.3980, Android.HiddenAds.3989, Android.HiddenAds.3994, Android.HiddenAds.655.origin, Android.HiddenAds.657.origin.

2024 voir également l’apparition d’une sous-catégorie, représentée par les malwares Android.HiddenAds.Aegis. Leur particularité, entre autres, étant de s’exécuter automatiquement. Cette sous-catégorie donne elle-même naissance à des variantes, comme Android.HiddenAds.Aegis.1, Android.HiddenAds.Aegis.4.origin, Android.HiddenAds.Aegis.7.origin, et Android.HiddenAds.Aegis.1.origin.

Les malwares de la famille Android.FakeApp, sont toujours autant utilisés dans les schémas de fraude. En 2024, ils représentent 18.2% de toutes les détections, en nette augmentation par rapport à 2023. Ces types de malwares chargent des sites non désirés pour effectuer des attaques de phishing et des fraudes en ligne.

Android.Spy reste également encore cette année une famille de logiciels espions assez active mais en baisse par rapport à 2023.

En baisse également l’activités des malwares : Android.Packed et Android.MobiDash.

En hausse : Android.Locker, Android.Proxy et Android.Click.

Les dix types de malwares les plus détectés en 2024:

Android.FakeApp.1600: Charge un site web codé en dur dans ses paramètres. Cette catégorie charge en général des sites de casino en ligne.
Android.Spy.5106: Groupe de Trojans qui se présentent comme des versions modifiées de mods de messageries WhatsApp non officielles.
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: Apps qui affichent des publicités non désirées.
Android.Click.1751: Ce Trojan est intégré aux mods de messagerie WhatsApp tiers et camouflé en classes de bibliothèque Google. Lorsque l’application hôte est utilisée, Android.Click.1751 se connecte à un serveur de contrôle et reçois deux URL. L’une d’entre elles est destinée aux utilisateurs russophones, l’autre est sans spécification de langue. Le Trojan affiche ensuite une boîte de dialogue dont il a reçu le contenu du serveur distant. Lorsqu’un utilisateur clique sur le bouton de confirmation, le malware charge un lien dans le navigateur.
Android.HiddenAds.Aegis.1: Malware masqué sur l’appareil et qui affiche des publicités intrusives. Il possède un certain nombre de caractéristiques qui le distinguent des autres membres du groupe Android.HiddenAds. Il peut notamment fonctionner automatiquement après son installation et rester en fonctionnement en permanence.
Android.MobiDash.7815: Ce malware affiche également des publicités non désirées.

Logiciels indésirables

Dans cette catégorie, les logiciels les plus répandus sont les Program.FakeMoney.11 qui représentent la moitié des détections de cette catégorie. Ces types de logiciels proposent des gains d’argent qui n’arrivent jamais.

Les logiciels détectés par Dr.Web sous le nom Program.CloudInject.1 sont également bien présents en 2024 puisqu’ils représentent 19% des détections de cette catégorie.

Les logiciels qui sont de faux antivirus, référencés sous la nomenclature Dr.Web Program.FakeAntiVirus.1 ont été moins actifs l’année dernière. Leur technique est de signaler de fausses menaces et de pousser l’utilisateur à télécharger une version soi-disant complète du logiciel.

L’année dernière, les logiciels malveillants offrant des programmes de contrôle de son activité physique ont été assez actifs, notamment : Program.TrackView.1.origin, Program.SecretVideoRecorder.1.origin, Program.wSpy.3.origin, Program.SecretVideoRecorder.2.origin, Program.Reptilicus.8.origin, Program.wSpy.1.origin, et Program.MonitorMinor.11.

Les dix logiciels indésirables les plus détectés en 2024 :

Program.FakeMoney.11
Program.FakeMoney.7: Ces programmes promettent des gains d’argent aux utilisateurs qui sont sensés effectuer différentes actions et cumuler un certain montant avant de pouvoir toucher leur gain. Ces apps proposent des systèmes de paiement via lesquels les utilisateurs doivent pourvoir récupérer leurs gains.
Program.CloudInject.1: Apps modifiées grâce au service cloud CloudInject et l’utilitaire Android éponyme. Ces applis sont modifiées sur un serveur distant, ce qui implique que les utilisateurs (moddeurs) ne peuvent pas contrôler les modifs effectuées.
Program.FakeAntiVirus.1: Malwares imitant les antivirus. Ils alertent sur de fausses menaces pour pousser les utilisateurs à télécharger leur version complète.
Program.TrackView.1.origin: Ce logiciel permet de prendre le contrôle d’un appareil. Si ces types de programmes ne sont pas malveillants en soi, ils peuvent être utilisés à mauvais escient car ils accèdent à de nombreuses données sur l’appareil.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Ensemble de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.wSpy.3.origin: Ce logiciel espion est en capacité de lire les SMS et les conversations dans les chats les plus populaires, écouter l’environnement, géolocaliser l’appareil, consulter l’historique du navigateur, accéder aux contacts, aux photos et vidéos, prendre des captures d’écran et il possède également des fonctions de keylogger (enregistrement des frappes clavier).
Program.Reptilicus.8.origin: Contrôle des appareils à distance avec géolocalisation, collecte de SMS, interception des appels, enregistrement de l’environnement, prise de capture d’écran etc.
Program.Opensite.2.origin: Logiciel dont les fonctions sont de charger des sites web et d’afficher des publicités. Certains de ces malwares sont distribués via YouTube.

Riskware

En 2024, les utilitaires de la catégorie Tool.SilentInstaller ont été les plus actifs. Ils comptent pour plus d’un tiers dans toutes les applications de ce type détectées sur les appareils. Parmi les nombreuses variantes qui existent, les quatre suivantes ont été les plus rencontrées : Tool.SilentInstaller.17.origin (16.17%), Tool.SilentInstaller.14.origin (9.80%), Tool.SilentInstaller.7.origin (3.25%), et Tool.SilentInstaller.6.origin (2.99%).

Un autre type de riskware assez fréquemment rencontré sont les programmes modifiés à l’aide de l’utilitaire NP Manager. Cet outil embarque un module spécifique dans le logiciel ciblé qui permet d’outrepasser le processus de vérification par signature numérique. Dr.Web détecte ces types de programmes comme des variantes de la famille Tool.NPMod. Au sein de cette famille, la variante Tool.NPMod.1 va été de plus en plus active au cours de l’année, représentant finalement environ 16% des détections de riskwares. La variante Tool.NPMod.2 représente, quant à elle, environ 7% des détections.

Parmi les autres riskwares souvent rencontrés, on trouve les malwares protégés par les packers Tool.Packer.1.origin, ainsi que les frameworks permettant de modifier les apps Android et de lancer des scripts Lua potentiellement malveillants Tool.Androlua.1.origin.

Parmi les riskwares dont l’activité a baissé en 2024, citons la famille d’utilitaires Tool.LuckyPatcher (passant de 14% des détections à 8%), permettant la modification des programmes pour Android ainsi que le téléchargement de scripts à leur adjoindre. Egalement en baisse d’activité, l’utilitaire d’obfuscation Tool.Obfuscapk et le packer Tool.ApkProtector.

Les 10 riskwares les plus répandus d’après notre Lab en 2024 :

Tool.NPMod.1
Tool.NPMod.2: Applis Android modifiées à l’aide de l’utilitaire NP Manager. Un module spécifique est embarqué dans ces apps leur permettant d’outrepasser la vérification par signature numérique.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes de riskwares qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement d’exécution virtuel dans le contexte des applications dans lesquelles ils sont intégrés. Les fichiers APK lancés par ce biais peuvent donc agir comme s’ils faisaient partie intégrante des applis et obtenir les mêmes autorisations.
Tool.Packer.1.origin: Outil de packing destiné au départ à protéger les applis Android contre leur modifications et contre le reverse engineering. Inoffensif dans sa conception, cet outil peut représenter un risque s’il est utilisé pour protéger des malwares, des applis infectées.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Androlua.1.origin: Désigne un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.
Tool.Packer.3.origin: Désigne les apps Android dont le code est obfusqué par l’outil NP Manager.

Adware

La famille nommée Adware.ModAd dans la nomenclature Dr.Web arrive clairement en première place des détections d’adwares puisqu’elle représente 47,5% de l’ensemble des détections de ce type de malwares. La catégorie qui était en tête en 2023, Adware.Adpush, passe à la seconde place en 2024 (14% des détections et une chute de 21points). La troisième place est occupée par une nouvelle famille d’adwares, Adware.Basement.

A noter également avec une activité relativement importante mais en baisse, les familles Adware.Airpush (en décroissance passant de 8,5% des détections à 4%) ; Adware.Fictus (de 4,4% à 3,2%) ; Adware.Leadbolt (de 4,3% à 2,2%) et Adware.ShareInstall (de 5% à 1%). Les adwares affichant des publicités non désirées de la catégorie Adware.MagicPush enregistrent une baisse d’activité notable par rapport à 2023 où ils étaient en deuxième place.

Les 10 adwares les plus détectés en 2024 :

Adware.ModAd.1: Versions modifiées (mods) du messenger WhatsApp dont une partie du code assure le téléchargement de liens prédéfinis par les pirates lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des sites de bookmakers, des sites pour adultes.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.Fictus.1
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.Adpush.21846
Adware.AdPush.39.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Modules qui peuvent être embarqués dans les applis Android et afficher des publicités intempestives, via des formats différents de type « pub », pop-up ou bannière. Ces publicités sont souvent utilisées par les pirates pour diffuser des malwares, de plus, ces modules collectent des données.
Adware.ShareInstall.1.origin: Modules qui peuvent être embarqués dans les applis Android et qui affichent des notifications contenant des pubs sur l’écran de verrouillage des appareils Android.
Adware.Youmi.4: Adware qui ajoute des raccourcis publicitaires sur l’écran d’accueil des appareils Android.
Adware.Inmobi.1: Désigne certaines versions du SDK de l’adware Inmobi. Elles peuvent passer des appels et entrer des événements dans les calendriers Android.

Menaces sur Google Play

En 2024, ce sont environ 200 menaces combinant plus de 26 millions de téléchargements qui ont été repérées par nos analystes sur Google Play. Les deux grandes familles diffusant des applis vérolées sont toujours Android.Click.414.origin et Android.HiddenAds. Les malwares sont distribués via différentes techniques et masquées derrière différents éléments tels que QR codes, applis de collections d’images, programmes de modifications d’images et même une appli d’antivol. La plupart de ces menaces agissent de manière masquée et redent insupportable l’utilisation du téléphone par l’affichage intempestif de notifications et pubs.

Exemples des menaces trouvées sur Google Play en 2024. Android.HiddenAds.4013 masqué derrière “Cool Fix Photo Enhancer”, Android.HiddenAds.4034 derrière “Cool Darkness Wallpaper”, Android.HiddenAds.4025 derrière “QR Code Assistant”, et Android.HiddenAds.656.origin derrière “Warning Sound GBD”.

En 2024, comme c’était déjà la tendance en 2023, les malwares diffusés sont eux-mêmes protégés par des outils de packing assez puissants.

Exemple avec “Lie Detector Fun Prank” masquant Android.Packed.57156, et “Speaker Dust and Water Cleaner” masquant Android.Packed.57159 ; tous les deux protégés par des packers puissants.

Les malwares désormais bien connus de nos utilisateurs pour les mentionner dans de nombreux rapports viraux, la famille Android.FakeApp, restent présents en 2024 dans les schémas de fraude. La fonction principale de ces types de malwares est d’ouvrir une URL « désirée » par les pirates. Toutes ces « fausses apps », en réalité, des malwares masqués, le sont derrière de très nombreuses catégories d’applications légitimes.

Exemples de Trojans Android.FakeApp qui ouvrent des liens redirigeant vers des sites frauduleux : Android.FakeApp.1681 (masqué derrière l’appli “SenseStrategy”), Android.FakeApp.1708 (masqué derrière l’appli “QuntFinanzas”)

Ces malwares se cachent également derrière des jeux. Malgré le fait que les applis remplissent le cahier des charges de leurs fonctionnalités déclarées, les malwares déguisés chargent des sites de casinos en ligne et autres sites de jeux financiers.

Ici, Android.FakeApp.1622 (“3D Card Merge Game”) et Android.FakeApp.1630 (“Crazy Lucky Candy”)

Enfin, il faut également se méfier des applis de recherche d’emploi qui peuvent dissimuler ce type de malwares.

Ici : Android.FakeApp.1627 (Appli “Aimer”) et Android.FakeApp.1703 (appli “FreeEarn”)

Enfin, toujours des Trojans qui abonnent les utilisateurs à des services payants et qui sont eux aussi dissimulés derrière des applis, ici, InstaPhoto Editor embarquant Android.Subscription.22.

D'autres chevaux de Troie de ce type appartenaient aux familles Android.Joker et Android.Harly, qui ont une architecture modulaire. Les premiers peuvent télécharger des composants supplémentaires depuis Internet, andis que les seconds se distinguent par le fait qu'ils stockent généralement les modules dont ils ont besoin sous forme cryptée dans leurs sources de fichiers.

Exemples d’applis abonnant leurs victimes à des services payants. Android.Joker.2280 masqué derrière “My Horoscope”, et Android.Harly.87 derrière le jeu “BlockBuster”

Les programmes décrits comme “logiciels indésirables » décrivent des applis qui, dans leur majorité, offrent aux utilisateurs la possibilité de réaliser des gains moyennant certaines actions à effectuer avec l’appli. Ce sont les programmes référencés comme Program.FakeMoney.11 et Program.FakeMoney.14.

Certaines variantes de Program.FakeMoney.11 ont été diffusées derrière le jeu “Copper Boom”, et Program.FakeMoney.14 était déguisé derrière le jeu “Merge Party”

De nouveaux types de modules adwares ont été découverts en 2024, référencés sous la nomenclature Adware.StrawAd.

Exemples de jeux contenant des représentants du module Adware.StrawAd: “Crazy Sandwich Runner” (Adware.StrawAd.1), “Poppy Punch Playtime” (Adware.StrawAd.3), “Finger Heart Matching” (Adware.StrawAd.6), et “Toimon Battle Playground” (Adware.StrawAd.9)

La catégorie Adware.Basement a également été diffusée sur Google Play. Il est désormais bien montré que ces malwares partagent leur code de base avec les malwares de la famille Program.FakeMoney.11.

Exemples d’applis embarquant les logiciels indésirables Adware.Basement : “Lie Detector: Lie Prank Test”, “TapAlarm:Don't touch my phone”, et “Magic Voice Changer” embarquent Adware.Basement.1; et “Auto Clicker:Tap Auto” , Adware.Basement.2

Trojans bancaires

D’après les statistiques de Dr.Web Security Space pour les appareils mobiles, les trojans bancaires représentent un peu plus de 6% des détections totales en 2024, ce qui est un pourcentage plus élevé qu’en 2023. Leur activités malveillante varie pendant l’année 2024 et augmente en fin d’année avec un pic constaté en novembre.

En 2024, des familles de Trojans bancaires bien connus ont refait surface, comme par exemple, Coper, Hydra (Android.BankBot.1048.origin, Android.BankBot.563.origin), Ermac (Android.BankBot.1015.origin, Android.BankBot.15017), Alien (Android.BankBot.745.origin, Android.BankBot.1078.origin), Anubis (Android.BankBot.670.origin), Cerberus (Android.BankBot.11404), GodFather (Android.BankBot.GodFather.3, Android.BankBot.GodFather.14.origin), et Zanubis (Android.BankBot.Zanubis.7.origin).

A noter la diffusion assez massive du spyware Android.SpyMax qui possède également des fonctionnalités de malware bancaire. Cette catégorie embarquait, à l’origine, le Cheval de Troie multifonctionnel RAT SpyNote (RAT — Remote Administration Trojan or Remote Access Trojan). Après une fuite de code, de multiples variantes sont apparues, notamment CraxsRAT and G700 RAT. Ces types de malwares ont connu un pic d’activité dans la seconde moitié de 2023 et ne cessent d’être actifs depuis.

Ces malwares semblent actifs dans le monde entier, avec néanmoins un ciblage assez important des utilisateurs en Russie (46% des détections globales) ainsi qu’au Brésil (35%) et en Turquie (environ 6%).

Nos analystes mettent également en lumière en 2024 l’activité des Trojans MoqHao. De nombreux représentants de cette famille ont été très actifs en Asie du Sud-Est et dans les pays d’Asie Pacifique, notamment (Android.Banker.367.origin, Android.Banker.430.origin, Android.Banker.470.origin, Android.Banker.593.origin ; Android.BankBot.919.origin, Android.BankBot.14423, Android.Banker.5297), IOBot (Android.BankBot.IOBot.1.origin), et Wroba (Android.Banker.360.origin), sont surtout actifs en Corée du Sud et Android.BankBot.907.origin, Android.BankBot.1128.origin au Japon. En Chine, on trouve les malwares Android.Banker.480.origin. Au Vietnam, Android.BankBot.1111.origin. L’Indonésie, la Thaïlande, et Taïwan sont ciblés par Android.Banker.480.origin, Android.BankBot.1111.origin. TgToxic (Android.BankBot.TgToxic.1) et GoldDigger trojan (Android.BankBot.GoldDigger.3).

En Iran et Turquie : Android.Banker.709.origin, Android.Banker.5292, Android.Banker.777.origin, Android.BankBot.1106.origin, Tambir family (Android.BankBot.1104.origin, Android.BankBot.1099.origin, Android.BankBot.1117.origin).

En Inde : Android.Banker.797.origin, Android.Banker.817.origin et Android.Banker.5435. Ces malwares se présentent comme des apps de banques, Airtel Payments Bank, PM KISAN, et IndusInd Bank. Enfin, lesfausses applis bancaires (Android.Banker.719.origin, Android.Banker.5147, Android.Banker.5443) ont ciblé les utilisateurs indiens des banques like Axis bank, HDFC Bank, SBI, ICICI Bank, RBL bank, et Citi bank.

Au Brésil: PixPirate (Android.BankBot.1026.origin) est le plus actif.

En Europe : Anatsa (Android.BankBot.Anatsa.1.origin) et Copybara (Android.BankBot.15140 et Android.BankBot.1100.origin), notamment en Italie, UK et Espagne.

Comme nous l’avons vu plus haut, une des tendances de 2024 en matière de cybercriminalité est le focus sur les méthodes de protection des malwares contre la détection et l’analyse. Ces méthodes impliquent l’utilisation du format ZIP sur lequel les fichiers APK sont basés. Ainsi, plusieurs outils d’analyse statique utilisant des algorithmes standard pour travailler avec les archives ZIP ne fonctionnent pas avec ces malwares. De plus, de nombreuses versions d’Android prennent ces fichiers pour des fichiers sains, leur permettant d’être installés et exécutés sur les appareils.

Une technique assez courante consiste à manipuler la méthode de compression des champs et de la taille dans l’en-tête du fichier local à l’intérieur de l’APK. Les cybercriminels indiquent à dessein de mauvaises valeurs dans les champs taille compressées et taille décompressée ou écrivent une méthode de compression incorrecte ou inexistante dans le champ méthode de compression. Une autre option est d’indiquer une méthode qui n’implique pas de compression de l’archive. Les en-têtes des champs taille compressée et taille décompressée ne vont pas correspondre, alors qu’ils le devraient.

Une autre technique répandue consiste à utiliser des données incorrectes à propos du disque dans l’ECDR (End of Central Directory Record) et dans le CD (Central Directory, contenant des données à propos des paramètres des fichiers et des archives). Ces deux paramètres devraient correspondre pour une même archive. Cependant, les cybercriminels peuvent indiquer des valeurs différentes semblant indiquer qu’il n’y a pas une archive unique mais bien une « archive multiple ». Les pirates peuvent également cocher une case dans les en-têtes du fichier local de certains fichiers de l’archive, indiquant que ces fichiers sont chiffrés. En réalité, ils ne le sont pas, mais une telle archive sera mal analysée.

Outre la manipulation des fichiers APK, on constate également des méthodes consistant à modifier le fichier de configuration des applis Android AndroidManifest.xml. Par exemple, ils ajoutent des octets inutiles, b'\x00', à la structure des attributs du fichier, rendant sa lecture incorrecte.

Conclusion et perspectives

Depuis ses débuts, le système Android est une cible privilégiée des cybercriminels et des millions de malwares sont développés pour usurper les utilisateurs. Ce que l’on constate en 2024, c’est que les applis publicitaires occupent une place vraiment importante. Il ne s’agit pas là de virus « classiques », bien que certains malwares dits adwares soient en mesure de voler des données sur les téléphones, mais plutôt de systèmes extrêmement envahissants qui harcèlent les utilisateurs via leurs jeux ou autres applis favorites pour les inciter à participer à des jeux « financiers ». L’appât du gain est un moteur puissant du développement d’applis indésirables. Outre leur dangerosité à l’endroit des données personnelles, avérée dans de nombreux cas, ces applis, ou plutôt, tous ces malwares, spywares, adwares etc, masqués derrière des applications sites « légitimes », se révèlent insupportables à « gérer » et/ou à contenir sur un Smartphone. Elles créent un environnement mêlant exaspération et tentation tant les offres sont parfois alléchantes.

Les Trojans bancaires font un retour en 2024. Avec une recrudescence de nouveaux acteurs bancaires, notamment des banques (uniquement) en ligne, les « fausses » applis basées, en fait, sur l’usurpation d’identité, ont connu un regain l’année dernière.

La tendance forte qui pourrait continuer à se développer en 2025 est, comme nous l’avons vu en fin de rapport, l’attention des cybercriminels portée sur la « protection » de leurs malwares, les rendant de plus en plus difficiles à détecter, mais également à analyser correctement. Cette tendance constituera sans doute de plus en plus un enjeu majeur dans la recherche virale.

Nos analystes et développeurs mettent tout en œuvre pour protéger nos utilisateurs et leur garantissent un niveau élevé de sécurité.

Installez Dr.Web Security Space pour protéger votre espace numérique et mobile.

Indicateurs de compromission

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du 4ème trimestre 2024

Thu, 26 Dec 2024 06:00:00 GMT

Le 26 décembre 2024

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires Android.HiddenAds sont les logiciels malveillants les plus courants au quatrième trimestre 2024. Derrière eux, l’ensemble des applis malveillantes Android.FakeApp et en troisième position, les Trojans Android.Siggen embarquant diverses fonctionnalités malveillantes.

Les analystes de Doctor Web ont encore révélé ce trimestre de nombreuses menaces sur Google Play. Parmi elles, comme au trimestre précédent, de nombreux Trojans de la catégorie Android.FakeApp, ainsi que des programmes malveillants des familles Android.Subscription et Android.Joker, qui abonnent les utilisateurs à des services payants. Des Trojans publicitaires de l’ensemble Android.HiddenAds ont également été détectés. Un logiciel d'empaquetage sophistiqué a émergé parmi les applis compromises sur GP.

Tendances principales du quatrième trimestre

Activité élevée des chevaux de Troie publicitaires Android.HiddenAds et des programmes frauduleux Android.FakeApp
Propagation de nombreux programmes malveillants via Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.FakeApp.1600: Cheval de Troie qui télécharge un site web programmé dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site web de casino en ligne.
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: Trojans conçus pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment l'icône de l'application dans le menu de l'écran d'accueil.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.Click.1751: Cheval de Troie intégré à des modifications WhatsApp et qui se fait passer pour une classe de bibliothèque Google. Lors de l'utilisation de l'application dans laquelle il est inséré, Android.Click.1751 envoie des requêtes à un des serveurs de contrôle. En réponse, le cheval de Troie reçoit deux liens, dont l'un est destiné aux utilisateurs russophones, et l'autre à tous les autres. Ensuite, il affiche une boîte de dialogue avec le contenu reçu du serveur et, après que l'utilisateur ait cliqué sur le bouton de confirmation, charge le lien correspondant dans le navigateur.

Program.FakeMoney.11: Applications qui déclarent permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, elles proposent une liste de systèmes de paiement et de banques populaires via lesquels il est prétendument possible de transférer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le même code.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en préconisant l’achat d’une version complète.
Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et prendre des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Ensemble de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.1: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.SilentInstaller.14.origin: Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Cet utilitaire n'est pas malveillant mais il peut être utilisé dans le but de protéger des Trojans.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Adware.ModAd.1: Versions modifiées (mods) du messenger WhatsApp dont une partie du code assure le téléchargement de liens prédéfinis par les pirates lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des sites de bookmakers, des sites pour adultes.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Menaces sur Google Play

Au cours du quatrième trimestre 2024, les analystes de Doctor Web ont détecté plus de 60 applications malveillantes sur Google Play dont la majorité appartient à la catégorie Android.FakeApp. Certaines d'entre elles ont été distribuées sous le couvert de programmes financiers, de livres de référence et de tutoriels, ainsi que sous le couvert d'autres logiciels — journaux intimes, cahiers, etc. Leur tâche principale est de télécharger des sites frauduleux.

Les programmes QuntFinanzas et Trading News, qui, entre autres nombreux chevaux de Troie Android.FakeApp, ont téléchargé des sites frauduleux

D'autres Trojans Android.FakeApp ont été maquillés en jeux.

Bowl Water et Playful Petal Pursuit sont des exemples de jeux avec une fonctionnalité de cheval de Troie

Dans le même temps, nos spécialistes ont découvert de nouvelles variantes du cheval de Troie Android.FakeApp.1669, dissimulé sous diverses applications et pouvant également charger des sites de casino en ligne. Le Trojan Android.FakeApp.1669 est intéressant sur un point : il reçoit l'adresse du site cible à partir du fichier TXT du serveur DNS malveillant. Dans le même temps, il ne se manifeste que lors de la connexion à Internet via certains fournisseurs.

Exemples de nouvelles modifications du cheval de Troie Android.FakeApp.1669. Le programme WordCount a été présenté par des pirates comme un outil de traitement de texte et le programme Split it: Checks and Tips est prétendument destiné à aider les clients des cafés et des restaurants à payer leurs factures et à calculer leurs pourboires.

Parmi les menaces trouvées sur Google Play figuraient plusieurs nouveaux représentants de la famille de chevaux de Troie publicitaires Android.HiddenAds, qui cachent leur présence sur les appareils infectés.

L'éditeur de photo Cool Fix Photo Enhancer a masqué le cheval de Troie Android.HiddenAds.4013

Des chevaux de Troie protégés par un logiciel sophistiqué ont été détectés, par exemple, Android.Packed.57156, Android.Packed.57157 et Android.Packed.57159.

Les applications Lie Detector Fun Prank et Speaker Dust and Water Cleaner sont des chevaux de Troie protégés par un packer

Nos experts ont également détecté le programme malveillant Android.Subscription.22, conçu pour abonner les utilisateurs à des services payants.

Au lieu d'éditer des photos, l'appli InstaPhoto Editor abonnait des utilisateurs à un service payant

Dans le même temps, les pirates ont de nouveau distribué des Trojans Android.Joker, qui abonnent leurs victimes à des services payants.

Le messager SMS Smart Messages et un clavier tiers Cool Keyboard ont essayé d'abonner discrètement leurs victimes à un service payant

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Applications malveillantes sur Google Play : comment les attaquants utilisent le protocole DNS pour lier secrètement les chevaux de Troie aux serveurs de contrôle

Mon, 11 Nov 2024 02:00:00 GMT

le 11 novembre 2024

La tâche de nombreux chevaux de Troie de la famille Android.FakeApp est de suivre des liens vers divers sites, et d'un point de vue technique, ces programmes malveillants sont assez primitifs. Au démarrage, ils reçoivent une commande pour ouvrir l'adresse Web indiquée, à la suite de quoi les utilisateurs qui les ont installés, au lieu du programme ou du jeu attendu, voient le contenu du site indésirable sur les écrans de leurs appareils. Cependant, certains « exemplaires » de ces malwares sont plus spécifiques, par exemple, Android.FakeApp.1669. Il diffère de la plupart des menaces similaires en ce qu'il utilise une bibliothèque dnsjava modifiée, à l'aide de laquelle il reçoit sa configuration d'un serveur DNS malveillant contenant un lien cible. Une telle configuration ne lui parvient que lorsqu'il se connecte à Internet via certains canaux — par exemple, l'Internet mobile. Dans d'autres cas, le cheval de Troie ne se manifeste pas.

Android.FakeApp.1669 est représenté par un grand nombre de variantes distribuées sous le couvert de certaines applications, y compris via le catalogue Google Play. Ainsi, les variantes actuellement connues du cheval de Troie ont été téléchargées à partir de la boutique en ligne officielle d'Android au moins 2 150 000 fois.

Exemples de programmes dans lesquels Android.FakeApp.1669 a été caché

Vous trouverez ci-dessous les variantes d’Android.FakeApp.1669, que les analystes de Doctor Web ont identifiées dans Google Play. Nos spécialistes ont trouvé d'autres chevaux de Troie, qui ne sont plus présents sur la boutique au moment de la publication.

Nom de l’application	Nombre de téléchargements
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	Plus de 100 000 (supprimé)
DessertDreams Recipes	50 000+
Score Time	10 000+

Au lancement, Android.FakeApp.1669 effectue une requête DNS sur le serveur de gestion pour récupérer l'enregistrement TXT associé au nom de domaine cible. À son tour, le serveur ne donne cet enregistrement au cheval de Troie que si l'appareil infecté est connecté au réseau par l'intermédiaire de fournisseurs cibles, y compris des fournisseurs d'Internet mobile. Ces enregistrements TXT contiennent généralement des informations de domaine et d'autres informations techniques, mais dans le cas d’Android.FakeApp.1669, il contient une configuration codée pour les logiciels malveillants.

Pour envoyer des requêtes DNS, Android.FakeApp.1669 utilise du code modifié de la bibliothèque open source dnsjava.

Toutes les modifications du cheval de Troie sont liées à des noms de domaine spécifiques, ce qui permet au serveur DNS de transférer sa configuration à chacun d'eux. De plus, les noms de sous-domaines des domaines cibles sont uniques pour chaque périphérique infecté. Ils contiennent des données sur l'appareil :

modèle et marque de l'appareil,
dimensions de l'écran,
identifiant (composé de deux nombres : le premier est le temps d'installation de l'application Trojan, le second est un nombre aléatoire),
si la batterie est chargée et quel est le pourcentage actuel de sa charge,
si les paramètres du développeur sont activés.

Par exemple, la variante Android.FakeApp.1669, qui est masquée dans l'application Goal Achèvement Planner, lorsqu'elle est analysée, a demandé au serveur un enregistrement TXT pour le domaine 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., une variante du programme Split it : Checks and Tips — l'enregistrement pour le domaine 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., la variante de DessertDreams Recipes — pour le domaine 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Exemple d'un enregistrement TXT du domaine cible que le serveur DNS a donné lorsqu'il a été interrogé via l'utilitaire Linux Dig lors de l'analyse d'une des modifications d’Android.FakeApp.1669

Pour déchiffrer le contenu de ces enregistrements TXT, il faut suivre les étapes ci-dessous :

inverser la ligne,
décoder Base64,
décompresser gzip,
diviser en lignes par le symbole ÷.

En conséquence, les données suivantes seront obtenues (l'exemple ci-dessous se réfère à l'enregistrement TXT pour l'application Goal Achievement Planner) :

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

Ces données contiennent un lien que le cheval de Troie charge dans WebView dans sa fenêtre par-dessus l'interface principale. Ce lien mène à un site qui gère une longue chaîne de redirections, à la fin de laquelle se trouve un site de casino en ligne. En conséquence, Android.FakeApp.1669 se transforme en fait en une application web qui montre le contenu du site téléchargé, plutôt que la fonctionnalité indiquée sur la page de l'application dans Google Play.

Le malware, au lieu de la fonctionnalité attendue, affiche le contenu d'un site de casino en ligne téléchargé

Dans le même temps, lorsqu'une connexion Internet est disponible mais n’est pas fournie par les fournisseurs cibles, ainsi qu'en mode hors ligne, le Trojan fonctionne comme le programme promis.

Le cheval de Troie n'a pas reçu la configuration du serveur de contrôle et a démarré comme un programme régulier.

Dr.Web Security Space pour les appareils mobiles détecte toutes les modifications connues d'Android.FakeApp.1669, il ne représente donc aucun danger pour les utilisateurs Dr.Web.

Indicateurs de compromission

Plus d'info sur Android.FakeApp.1669

Rapport Doctor Web sur les menaces ayant ciblé les mobiles au 3e trimestre 2024

Tue, 01 Oct 2024 02:00:00 GMT

Le 1 octobre 2024

D’après les statistiques récoltées par Dr.Web Security Space pour les appareils mobiles, ce sont les mêmes familles de malwares, connues depuis plusieurs années, qui conservent le top des détections, à savoir Android.FakeApp et Android.HiddenAds. Une troisième catégorie de trojans émerge ce trimestre, référencée dans la nomenclature Dr.Web comme Android.Siggen. Ces malwares embarquent différentes fonctionnalités malveillantes mais sont difficiles à classer dans une famille en particulier.

Au mois d’août, une vague d’infection massive de box TV tournant sous Android est découverte. La porte dérobée responsable de l’infection d’environ 1 300 000 box est référencée comme Android.Vo1d. Cette appli malveillante intègre ses composants à la zone de stockage du système sur les appareils infectés et, sur commande, peut télécharger et installer d’autres programmes.

En Indonésie, ce sont des malwares bancaires qui émergent. Notamment, Android.SmsSpy.888.origin. Protégé par un packer (empaqueté), il est détecté comme Android.Siggen.Susp.9415 et diffusé en se faisant passer pour l’appli de support client de la banque BRI, BRImo Support.

Une fois lancé, le trojan charge le site réel de la banque sur WebView : https://bri.co.id. Il utilise, en parallèle, une API de bot Telegram pour envoyer des données techniques sur les appareils infectés au Chat Telegram créés par les cybercriminels.

Android.SmsSpy.888.origin intercepte les SMS entrants et les envoie sur ce chat. Lorsqu’ils sont réceptionnés sous la forme 55555, <number>, <text>, il les interprète comme des commandes et envoie les messages correspondants avec le texte <text> au numéro <number>. Ainsi, le maware peut à la fois envoyer du spam par SMS et se propager.

Un autre exemple de malware actif en Indonésie est Android.SmsSpy.11629. Il représente un espion SMS diffusé sous le couvert de multiples applications. La version analysée par nos équipes cible les clients de la banque Mandiri Taspen en se faisant passer pour une de ses applis officielle, Movin. Le malware affiche des notifications et demande aux utilisateurs d’accepter le contrat d’utilisation. Si c’est le cas, le trojan requiert la permission de « travailler » avec les SMS.

Ensuite, le malware charge la page officielle de la banque : https://mail.bankmantap.co.id/: dans WebView

Android.SmsSpy.11629 intercepte tous les SMS entrants. Puis il utilise l’API d’un bot Telegram pour envoyer ces messages au chat Telegram des attaquants. Il ajoute le texte developed by : @AbyssalArmy à tous les messages.

TENDANCES MAJEURES DE Q3 2024

Android.Vo1d infecte des millions de box TV Android
Android.FakeApp : une famille de malwares toujours aussi active
Les adware de la catégorie Android.HiddenAds également encore très actifs
Google Play toujours ciblé

D’après les statistiques récoltées par Dr.Web Security Space pour les appareils mobiles

Android.FakeApp.1600: Trojan qui charge des sites web codés en dur (hardcoded) dans leurs paramètres.
Android.HiddenAds.3994: Appli intrusive qui affiche des publicités intempestives. Les membres de la famille Android.HiddenAds sont régulièrement diffusés sous couvert d’applis inoffensives et connues.
Android.MobiDash.7815
Android.MobiDash.7813: Trojans qui affichent des publicités intempestives sans accord de l’utilisateur. Ce sont souvent des modules qui sont intégrés aux applis par les développeurs.
Android.Click.1751: Ce cheval de Troie est intégré aux mods de messagerie WhatsApp tiers et camouflé en classes de bibliothèque Google. Pendant l’utilisation de l’application hôte, Android.Click.1751 se connecte à un serveur C&C qui lui envoie deux URLs. L’une d’entre elles s’adresse à des utilisateurs russophones et l’autre est universelle. Le malware affiche ensuite une boîte de dialogue dont le contenu lui a également été transmis par un serveur distant. Lorsqu’un utilisateur clique sur le bouton de confirmation, le malware télécharge un lien dans son navigateur.

Program.FakeMoney.11: Ces programmes consistent en des applis Android sensées permettre aux utilisateurs de gagner de l’argent. Elles simulent l’accumulation de récompenses et indiquent qu’un certain montant doit être récolté pour en bénéficier. Ces applis présentent une liste de systèmes de paiement connus qui peuvent être soi-disant utilisés pour récupérer l’argent accumulé. Même si l’utilisateur peut voir les récompenses s’accumuler, il ne touchera bien évidemment jamais l’argent. Cette signature virale est utilisée pour détecter d’autres logiciels indésirables basés sur le code source de ces types d’applis.
Program.CloudInject.1: Série de programmes qui ont été modifiés en utilisant le service cloud CloudInject et l’utilitaire Android éponyme (ce dernier étant ajouté aux bases Dr.Web sous la nomenclature Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant mais les utilisateurs (modders) intéressés par ces modifications ne peuvent pas contrôler ce qui sera exactement ajouté aux applis concernées. De plus, ces programmes reçoivent un certain nombre de permissions système assez dangereuses. Une fois les modifications apportées, les utilisateurs peuvent gérer ces applis à distance. Ils peuvent les bloquer, afficher des boîtes de dialogue et effectuer un traçage de l’installation ou de la suppression d’autres applis sur l’appareil.
Program.FakeAntiVirus.1: Programmes dits “adwares” qui imitent les applis antivirus. Ces malwares informent les utilisateurs de menaces non existantes et les incitent à acheter une version soi-disant complète du logiciel.
Program.SecretVideoRecorder.1.origin: Cette entrée dans la base regroupe une série de modifications d’une application destinée à l’enregistrement de vidéos et à la prise de photos en background en utilisant les appareils photos intégrés des mobiles Android. Ces types d’applis peuvent opérer de manière cachée en autorisant la désactivation des notifications sur les enregistrements en cours. Elles permettent également le remplacement des nom et icône d’autres applis.
Program.TrackView.1.origin: Applications qui permettent de surveiller les utilisateurs via leur mobile Android via le traçage de la localisation de l’appareil, l’utilisation de l’appareil photo, l’écoute de l’environnement, l’enregistrement d’audios etc.

Tool.Packer.1.origin: Cet outil de packing permet de protéger des applications contre leur modification. IL n’est pas dangereux en soi, mais il pourrait être utilisé par des personnes malintentionnées pour protéger des malwares.
Tool.SilentInstaller.17.origin: Cette entrée désigne une plateforme de riskwares rendant possible le lancement de fichiers APK sans les installer. Ceci créé un environnement d’exécution virtuel au sein des applications dans lesquelles ces riskwares sont installés. Les fichiers APK, lancés à l’aide de cette plateforme peuvent opérer comme s’ils faisaient partie intégrante des applications et obtenir les mêmes permissions.
Tool.NPMod.1
Tool.NPMod.2: Programmes modifiés via l’utilitaire NP Manager. Un module en particulier est embarqué dans ces apps qui leur donne la possibilité d’outrepasser la vérification de leur signature.
Tool.LuckyPatcher.1.origin: Cet outil permet de modifier des applications installées sur un appareil en créant des patchs pour celles-ci afin de modifier leur logique de fonctionnement ou d’outrepasser certaines restrictions. Par exemple, cet outil rend possible la désactivation de la vérification de l’accès root dans les applis bancaires ou l’obtention de ressources illimitées dans les jeux. Pour ajouter des patchs, l’utilitaire télécharge des scripts qui peuvent être ajoutés par n’importe qui à la base de données partagée, sur Internet. Les fonctionnalités de ces scripts peuvent s’avérer malveillantes, ce qui rend les patchs créés via cet outil potentiellement dangereux.

Adware.ModAd.1: Versions modifiées de certains mods de WhatsApp dont les fonctions sont injectées via un code spécifique qui prévoit le chargement d’URLs en affichant du contenu web (via WebView) lors de l’utilisation de WhatsApp. Ces URLs redirigent vers des sites publicitaires pour, notamment, des casinos en ligne, des sites de bookmakers ou des sites pour adultes.
Adware.Basement.1: Série d’applis qui affichent des publicités non désirées menant souvent vers des sites vérolés ou frauduleux. Ces applis partagent une base de code commune avec les applis Program.FakeMoney.11.
Adware.Fictus.1.origin: Module d’adware embarqué dans des versions copiées de jeux et applications Android populaires. Leur intégration est facilitée par un packer net2share. Les copies ainsi créées sotn distribuées via des catalogues d’apps. Une fois installées, ces applis affichent des publicités intempestives.
Adware.Adpush.21846
Adware.AdPush.39.origin: Modules d’adwares qui peuvent être intégrés à des applis Android et qui affichent des notifications trompeuses contenant des pubs. Par exemple, ces notifications peuvent ressembler à des message de l’OS. De plus, ces modules récupèrent des données confidentielles et sont en capacité de télécharger et d’installer d’autres apps.

Menaces sur Google Play

Au 3e trimestre 2024, les analystes de Doctor Web ont découvert de nouvelles menaces se glissant dans les applis du Store. Ce sont les mêmes familles de malwares qui reviennent inlassablement, notamment Android.FakeApp et Android.HiddenAds. La tendance du trimestre est aux applis qui promettent des gains financiers.

Dans ces exemples, les applis présentent des fonctionnalités de chat et de rencontre, mais vont tout de même amener l’utilisateur vers la promesse de gagner de l’argent.

Ces applis se présentent également sous la forme d’applis de jeux et vont, sous certaines conditions, charger des sites de casino en ligne ou de bookmakers.

Les arnaques aux faux sites d’emploi sont également encore présentes via certaines apps qui invitent l’utilisateur à contacter un employeur ou à envoyer son CV.

Enfin, de nombreux malwares se dissimulent dans des applis graphiques proposées sur GP.

Pour protéger votre mobile Android, installez Dr.Web Security Space pour les appareils mobiles.

Indicateurs de compromission

Doctor Web : rapport trimestriel sur les menaces mobiles

Mon, 01 Jul 2024 04:00:00 GMT

le 1 juillet 2024

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, au deuxième trimestre 2024, les utilisateurs ont été surtout impactés par des chevaux de Troie publicitaires de la famille Android.HiddenAds et Android.FakeApp, que les attaquants utilisent dans la mise en œuvre de divers stratagèmes frauduleux. Le malware de cette famille le plus souvent rencontré est Android.FakeApp.1600, qui a été détecté fin mai.. Ce cheval de Troie est distribué via des sites malveillants, à partir desquels il est téléchargé sous le couvert d'une application de jeu de casino en ligne. Ses visiteurs sont invités à jouer à un jeu de type « roue de la chance », mais lorsqu'ils essaient de le faire, ils sont redirigés vers une page contenant un formulaire d'inscription. Le nombre élevé de détections de ce programme malveillant peut s'expliquer par le fait que les attaquants en font la publicité dans d'autres applications. Après avoir cliqué sur la pub, les utilisateurs accèdent au site malveillant correspondant à partir duquel le cheval de Troie est téléchargé.

Les malwares espions de type Android.Spy ont également été souvent retrouvés dans les détections.

Au cours du deuxième trimestre, le laboratoire de Doctor Web a révélé de nouvelles menaces sur Google Play dont différents programmes contrefaits Android.FakeApp, ainsi que le programme indésirable Program.FakeMoney.11, qui prétend convertir des récompenses virtuelles en argent réel. De plus, les attaquants ont de nouveau distribué via Google Play un cheval de Troie qui abonnait les victimes à des services payants.

Tendances principales du deuxième trimestre

Les Trojans publicitaires Android.HiddenAds restent les menaces ciblant Android les plus actives
Apparition de nouvelles menaces sur Google Play

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web de casino en ligne.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: Trojans conçus pour afficher des publicités. Les représentant de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106: Trojans représentant des versions modifiées de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations considérées comme dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installation et de désinstaller d'autres logiciels, etc.
Program.FakeMoney.11: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Cet utilitaire n'est pas malveillant mais il peut être utilisé dans le but de protéger des Trojans.
Tool.NPMod.1
Tool.NPMod.2: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.

Adware.ModAd.1: Détection de certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.AdPush.39.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage de l'OS.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du deuxième trimestre 2024, les analystes de Doctor Web ont de nouveau trouvé sur Google Play des Trojans Android.FakeApp. Certains d'entre eux ont été distribués sous couvert de programmes financiers, ainsi que sous couvert d’applications conçues pour la participation à des enquêtes et à des quiz :

Ces applications pouvaient télécharger des sites Web frauduleux sur lesquels les victimes potentielles se voyaient proposer de suivre une formation financière ou de devenir investisseurs pour le compte d'institutions de crédit et de sociétés pétrolières et gazières bien connues. Pour accéder à un « service » en particulier, les utilisateurs devaient répondre à plusieurs questions, après quoi ils devaient indiquer leurs données personnelles.

D'autres Trojans Android.FakeApp ont été dissimulés derrière différents jeux. Sous certaines conditions, au lieu de la fonctionnalité déclarée, ils téléchargeaient des sites Web de bookmakers et de casinos en ligne.

Un autre cheval de Troie de la famille Android.FakeApp — Android.FakeApp.1607 a été caché dans une collection d'images. Il fournissait les fonctionnalités déclarées, mais pouvait également télécharger des sites de casino en ligne.

Les pirates ont fait passer plusieurs représentants de la famille Android.FakeApp (Android.FakeApp.1605 et Android.FakeApp.1606) pour des programmes de recherche d'emploi. Ces chevaux de Troie téléchargent de fausses listes d'emplois, où il est proposé de contacter l’employeur via des messengers Internet (par exemple, Telegram), ou d'envoyer un CV. Le stratagème a pour objectif d’attirer les utilisateurs dans divers systèmes de revenus douteux.

Nos analystes ont également détecté sur Google Play un autre programme indésirable appartenant à la famille Program.FakeMoney. De telles applications proposent aux utilisateurs d'effectuer diverses tâches et de recevoir des récompenses virtuelles, en promettant une option pour retirer ultérieurement ces récompenses sous forme d'argent réel, ce qui ne se fait jamais. Le but de ces programmes est d'encourager les utilisateurs à utiliser une application le plus longtemps possible pour leur afficher des publicités qui rapportent de l'argent aux développeurs.

Program.FakeMoney.11 est un de ces programmes, pour lequel les utilisateurs reçoivent des récompenses virtuelles pour avoir visionné des publicités dans l'application. En cas de tentative de retirer l'argent « gagné », le programme retarde cette opportunité autant que possible, en définissant en permanence de nouvelles conditions. Si l'utilisateur soumet finalement « avec succès » une demande de retrait, il sera placé dans une « file d'attente » pour que sa demande soit examinée, comme plusieurs autres milliers de « gagnants ».

Le Trojan de la famille Android.Harly — Android.Harly.87 a également été détecté sur Google Play. Les applications malveillantes de cette famille abonnent les victimes à des services payants.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de février 2024

Mon, 01 Apr 2024 03:00:00 GMT

Le 1er avril 2024

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en février 2024, l'activité des chevaux de Troie publicitaires de la famille Android.HiddenAds a augmenté de 73% par rapport à janvier. Dans le même temps, l’acitivté de la famille de malwares Android.MobiDash a baissé de quasiment 59%.

The activity of banking trojans from various families decreased by 18.77%, while Android.Spy spyware trojan activity decreased by 27.33%. In contrast, the number of Android.Locker ransomware trojan detections increased by 29.85%.

Les tendances principales du mois de février

Activité accrue des Trojans publicitaires Android.HiddenAds
Diminution du nombre d'attaques de chevaux de Troie bancaires et de logiciels espions malveillants
Augmentation de la circulation de rançongiciels sur les appareils protégés

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3956
Android.HiddenAds.3851: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106: Trojan, qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.HiddenAds.Aegis.1
Android.HiddenAds.Aegis.4.origin: Des chevaux de Troie qui cachent leur présence sur les appareils Android et affichent des publicités. Ils diffèrent des autres membres de la famille Android.HiddenAds de plusieurs façons. Par exemple, ces chevaux de Troie sont capables de se lancer après l'installation. De plus, ils ont un mécanisme qui permet à leurs services de rester constamment en cours d'exécution. Dans certains cas, ils peuvent également impliquer des fonctionnalités cachées du système d'exploitation Android.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données virales Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète dufaux antivirus.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.TrackView.1.origin: Détection d'une application qui permet de surveiller les utilisateurs via des appareils Android. En utilisant ce programme, les attaquants sont en mesure de déterminer les coordonnées des appareils cibles, d'utiliser la caméra pour enregistrer des vidéos et de créer des photos, d'écouter via le microphone, de créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.1: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Un module spécialisé a été introduit dans ces programmes, ce qui permet de contourner la vérification de la signature numérique après leur modification.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Adware.ModAd.1: Détection de certaines versions modifiées (mods) de WhatsApp messenger, dont les fonctionnalités comprennent un code pour charger des liens spécifiés via l'affichage Web lors de l'utilisation de l'application. Depuis ces adresses Internet l'utilisateur peut être redirigé vers des sites, par exemple, vers des casinos en ligne et de bookmakers, des sites pour adultes.
Adware.Adpush.21846
Adware.AdPush.39.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage de l'OS.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de Janvier 2024

Fri, 29 Mar 2024 01:00:00 GMT

le 29 mars 2024

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en janvier 2024, les utilisateurs ont rencontré le plus souvent des chevaux de Troie publicitaires, ces Trojans appartenaient à la famille Android.HiddenAds. Par rapport au mois de décembre 2023, on constate une augmentation de leur diffusion de 50%. Dans le même temps, l'activité d'une autre famille populaire de chevaux de Troie publicitaires, Android.MobiDash, est restée pratiquement inchangée.

Le nombre d'attaques par des Trojans bancaires a augmenté de 17%, les deux familles de malwares les plus répandus étant la famille des espions Android.Spy et celle des rançongiciels Android.Locker.

Dans le même temps, nos experts ont identifié de nouvelles menaces dans le catalogue Google Play. Parmi elles, une nouvelle famille de modules publicitaires indésirables Adware.StrawAd, ainsi que des Trojans de la famille Android.FakeApp. Ces derniers sont utilisés par les attaquants pour mettre en œuvre toutes sortes de stratagèmes frauduleux.

TENDANCES CLES DE JANVIER

Les Trojans publicitaires Android.HiddenAds sont restés les leaders du nombre de détections sur les appareils protégés
L'activité de nombreuses familles d'applications Android malveillantes a augmenté
De nouvelles menaces ont été trouvées sur Google Play.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3851
Android.HiddenAds.3831: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106
Android.Spy.4498: Trojan, qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.MobiDash.7805: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données virales Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète du faux antivirus.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.FakeMoney.7: Détection d'applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.TrackView.1.origin: Détection d'une application qui permet de surveiller les utilisateurs via des appareils Android. Ce programme permet aux pirates de déterminer les coordonnées des appareils cibles, d'utiliser la caméra pour enregistrer des vidéos et créer des photos, d'écouter via le microphone, de créer des enregistrements audio, etc.

Tool.NPMod.1: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Un module spécialisé a été introduit dans ces programmes, ce qui permet de contourner la vérification de la signature numérique après leur modification.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Adware.StrawAd.1: Applications Android contenant le module intégré indésirable Adware.StrawAd.1.origin. Lorsque l'utilisateur déverrouille l'écran de son appareil Android, ce module affiche les annonces de différents fournisseurs de services publicitaires.
Adware.AdPush.39.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant d’une famille de modules intégrés à des applications Android et affichant différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré dans des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.

Menaces sur Google Play

Début janvier 2024, le laboratoire de Doctor Web a identifié un certain nombre de jeux dans le catalogue Google Play qui contenaient une plateforme publicitaire indésirable Adware.StrawAd.1.origin:

Crazy Sandwich Runner
Purple Shaker Master
Poppy Punch Playtime, Meme Cat Killer
Toiletmon Camera Playtime
Finger Heart Matching
Toilet Monster Defense
Toilet Camera Battle
Toimon Battle Playground

Cette plateforme est un module spécialisé qui est stocké sous forme cryptée dans un répertoire avec les ressources des programmes porteurs. Lorsque l'écran est déverrouillé, il peut afficher des annonces de différents fournisseurs de services publicitaires. Dr.Web détecte les applications contenant Adware.StrawAd.1.origin comme des représentants de la famille Adware.StrawAd.

Également en janvier, nos spécialistes ont détecté un certain nombre de programmes malveillants contrefaits de la famille Android.FakeApp. Ainsi, le Trojan Android.FakeApp.1579 a été dissimulé derrière l'application Pleasant Collection, déguisée en lecteur de bandes dessinées.

Sa seule tâche, cependant, était de télécharger des ressources Internet frauduleuses. Parmi elles on pouvait trouver des sites donnant prétendument l'accès à certains jeux, y compris, notamment dans la catégorie « adulte ». Un exemple en est présenté ci-dessous.

Dans ce cas, la victime potentielle est invitée à répondre à plusieurs questions avant le « début » du jeu, après quoi elle est invitée à fournir des données personnelles, puis des données de carte bancaire - prétendument pour vérifier son âge.

Parmi les représentants identifiés de la famille Android.FakeApp figuraient à nouveau des programmes distribués sous le couvert de jeux. Ils ont été ajoutés à la base de données virales Dr.Web comme Android.FakeApp.1573, Android.FakeApp.1574, Android.FakeApp.1575, Android.FakeApp.1577 et Android.FakeApp.32.origin.

Sous certaines conditions, ces programmes conntrefaits pouvaient télécharger des sites de casinos et de bookmakers en ligne. Un exemple de leur fonctionnement en tant que jeux :

Un exemple de l'un des sites qu'ils ont téléchargés :

Le téléchargement de sites de casino en ligne et de bookmakers était également la tâche de plusieurs autres chevaux de Troie. Ainsi, Android.FakeApp.1576 a été dissimulé derrière le programme de formation au maquillage Contour Casino Glam et dans l'outil de création de mèmes Fortune Meme Studio. Et Android.FakeApp.1578 a été intégré à une application de lampe de poche appelée Lucky Flash Casino Light.

Après l'installation, ils fonctionnaient comme des applications inoffensives, mais après un certain temps, ils pouvaient commencer à télécharger des sites cibles.

De plus, les attaquants ont distribué des versions de Trojans Android.FakeApp.1564 et Android.FakeApp.1580 sous le couvert d'applications financières, de programmes de participation à des enquêtes, d'annuaires et d'autres applis.

Ces programmes téléchargent des sites Web financiers frauduleux où divers services sont proposés en usurpant le nom de sociétés connues. Pour accéder à un service en particulier, les internautes sont tenus de remplir une enquête et d'enregistrer un compte, en fournissant des données personnelles.

Exemples de sites :

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de décembre 2023

Tue, 30 Jan 2024 01:00:00 GMT

Le 30 janvier 2023

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en décembre 2023, ce sont les chevaux de Troie publicitaires de la famille Android.HiddenAds qui ont le plus circulé, même si, dans le même temps, nos statisticiens ont enregistré une baisse de leur activité de 54 % par rapport au mois précédent. Le nombre d'attaques de chevaux de Troie bancaires et de logiciels espions a diminué de quasiment 1 % et 10,8 %, respectivement.

Au cours du mois de décembre 2023, les analystes de Doctor Web ont détecté sur Google Play de nouvelles applications malveillantes contrefaites de la famille Android.FakeApp, ces applis ont été utilisées par des pirates dans différentes schémas frauduleux. Nos experts ont également identifié de nouveaux sites à travers lesquels les attaquants ont distribué de fausses applications de portefeuille crypto.

Les tendances principales du mois de décembre

Les chevaux de Troie publicitaires de la famille Android.HiddenAds ont été le plus souvent détectés sur des appareils protégés.
Diminution de l'activité des chevaux de Troie bancaires et des applications malveillantes espions
De nouvelles applications malveillantes ont été détectées sur Google Play.
Détection de nouveaux sites diffusant de fausses applications de portefeuille crypto pour les appareils fonctionnant sous Android et iOS

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.Spy.5106: Trojans représentant des versions modifiées de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.HiddenAds.3831
Android.HiddenAds.3851: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.MobiDash.7805: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.
Android.Click.1751: Un cheval de Troie qui est intégré dans des modifications WhatsApp et se fait passer pour une classe de bibliothèque Google. Lors de l'utilisation de l'application dans laquelle il est inséré, Android.Click.1751 envoie des requêtes à un des serveurs de contrôle. En réponse, le cheval de Troie reçoit deux liens, dont l'un est destiné aux utilisateurs russophones, et l'autre à tous les autres. Ensuite, il affiche une boîte de dialogue avec le contenu reçu du serveur et, après que l'utilisateur ait cliqué sur le bouton de confirmation, charge le lien correspondant dans le navigateur.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations problématiques. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installer et de désinstaller d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.FakeMoney.7: Détection d'applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.1: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à une base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.ApkProtector.16.origin: Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.Adpush.21846
Adware.AdPush.39.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.

Menaces sur Google Play

En décembre 2023, les analystes de Doctor Web ont trouvé sur Google Play de nouveaux Trojans de la famille Android.FakeApp. Notamment, Android.FakeApp.1564 a été diffusé par les pirates sous le couvert d'une appli de registre de dettes. Le Trojan Android.FakeApp.1563 se cachait derrière l'application conçue pour répondre à des enquêtes. Et Android.FakeApp.1569 a été présenté par les fraudeurs comme un outil qui aide à augmenter la productivité et à développer des habitudes utiles.

Tous ces programmes contrefaits téléchargent des sites financiers frauduleux qui copient la conception de véritables sites Web de banques, d'agences de presse et d'autres organisations bien connues. De plus, les vrais noms et logos sont utilisés dans leur conception. Sur ces ressources frauduleuses, les utilisateurs sont invités à devenir investisseurs, à suivre une formation financière, à recevoir une aide financière, etc. Parallèlement, ils sont invités à indiquer leurs données personnelles - prétendument pour enregistrer un compte et accéder aux services correspondants.

Exemples de sites frauduleux téléchargés par les Trojans :

Les applications malveillantes Android.FakeApp.1566, Android.FakeApp.1567 et Android.FakeApp.1568 ont été diffusées sous le couvert de jeux :

Au lieu de lancer des jeux, ces applis pouvaient télécharger des sites de bookmakers et de casinos en ligne, comme indiqué dans l'exemple ci-dessous.

Fonctionnement de l'un de ces chevaux de Troie en mode jeu :

L'un des sites qu'elle a téléchargés :

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Индикаторы компрометации

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de novembre 2023

Thu, 21 Dec 2023 01:00:00 GMT

le 21 décembre 2023

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en novembre 2023, les utilisateurs ont rencontré moins souvent les chevaux de Troie publicitaires Android.HiddenAds et Android.MobiDash. L'activité des premiers a diminué d'un quart (25,03%), celle des seconds — de plus d'un tiers (35,87%). De plus, les chevaux de Troie bancaires et les programmes malveillants espions ont été moins souvent détectés sur les appareils protégés (respectivement de 3,53 % et de 17,10 %)

Dans le même temps, les attaquants ont de nouveau distribué des programmes malveillants via le catalogue Google Play. Nos experts ont identifié plus de deux douzaines de chevaux de Troie de la famille Android.FakeApp utilisés à des fins frauduleuses, ainsi qu'un autre cheval de Troie qui abonne les propriétaires d'appareils Android à des services payants sur Google Play.

TENDANCES PRINCIPALES DU MOIS DE NOVEMBRE

Diminution de l'activité des Trojans publicitaires
Diminution de l'activité des chevaux de Troie bancaires et des applications malveillantes espions
Propagation de nouveaux programmes malveillants via Google Play,

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.MobiDash.7805: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.
Android.Spy.5106: Trojans représentant des versions modifiées de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.Spy.5864: À l'aide de cette entrée dans la base de données virales, Dr.Web détecte un cheval de Troie qui se cache dans un certain nombre de modifications tierces de la messagerie WhatsApp. Les attaquants utilisent ce logiciel malveillant pour espionner les utilisateurs. Par exemple, ils peuvent rechercher des fichiers sur les appareils des victimes et les télécharger sur un serveur distant, collecter des données à partir de l'annuaire téléphonique, obtenir des informations sur l'appareil infecté, effectuer un enregistrement audio de l'environnement à des fins d'écoute, etc.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installation et de désinstaller d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.FakeMoney.7: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.1: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au mois de mai, les analystes de Doctor Web ont détecté plus de nouvelles applications malveillantes de la famille Android.FakeApp sur Google Play. Certains d'entre elles ont été distribuées sous le couvert de programmes financiers, tels que des livres et manuels de référence, des applis de comptabilité à domicile, des logiciels d'accès aux informations boursières, par exemple, Android.FakeApp.1497, Android.FakeApp.1498, Android.FakeApp.1499, Android.FakeApp.1526, Android.FakeApp.1527, Android.FakeApp.1536. Leur tâche principale est de télécharger des sites frauduleux où les utilisateurs sont invités à devenir des investisseurs. Pour ce faire, ils doivent indiquer leurs données personnelles.

Un autre faux programme, Android.FakeApp.1496, se cachait derrière une application de référence donnant accès à des informations juridiques. Cette appli pouvait télécharger un site via lequel les victimes pouvaient prétendument obtenir une assistance juridique et des remboursements liés à leur affaire.

Le site téléchargé par ce cheval de Troie est illustré ci-dessous. Le visiteur doit répondre à quelques questions, puis remplir un formulaire pour « obtenir une consultation gratuite » avec un juriste.

D'autres programmes contrefaits se sont de nouveau fait passer pour des jeux. Par exemple, Android.FakeApp.1494, Android.FakeApp.1503, Android.FakeApp.1504, Android.FakeApp.1533 et Android.FakeApp.1534. Dans certains cas, ils fonctionnent vraiment comme des jeux, mais leur fonction principale est de charger des sites Web de casinos en ligne et de bookmakers.

Voici des exemples du fonctionnement de ces chevaux de Troie en tant que jeux :

Exemple de site de bookmaker téléchargé par l'un d'entre eux :

Nos analystes ont également découvert un autre programme malveillant conçu pour connecter les utilisateurs à des services payants. Les attaquants l'ont distribué sous le couvert d'une application Air Swipes pour contrôler les appareils Android à l'aide de gestes.

Une fois lancé, ce cheval de Troie télécharge le site de service partenaire via lequel l'abonnement est effectué :

Si la victime démarre le programme lorsque l'accès Internet est désactivé ou si le site cible n'est pas disponible, le programme prétend être l'application promise, mais ne fournit aucune fonctionnalité utile en signalant une erreur. Dr.Web Antivirus détecte ce cheval de Troie comme Android.Subscription.21.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois d'octobre 2023

Wed, 22 Nov 2023 00:00:00 GMT

le 22 novembre 2023

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en octobre 2023, les utilisateurs ont rencontré le plus souvent des chevaux de Troie affichant de la publicité, ces Trojans appartenaient à la famille Android.HiddenAds. Par rapport au mois précédent, leur activité a augmenté de 46 %. Le nombre d'attaques par le deuxième cheval de Troie publicitaire le plus courant de la famille Android.MobiDash a également augmenté de 7 %. De plus, les utilisateurs étaient plus susceptibles de rencontrer des applications malveillantes espions et des chevaux de Troie bancaires — de 18,27 % et 10,73 %, respectivement.

Au cours du mois d’octobre, les analystes de Doctor Web ont révélé de nouvelles menaces sur Google Play. Parmi elles, des dizaines de faux programmes de la famille Android.FakeApp, que les attaquants utilisent à des fins frauduleuses, ainsi que des chevaux de Troie Android.Proxy.4gproxy, qui transforment les appareils Android en serveurs proxy.

Les tendances principales du mois d'octobre

Augmentation de l'activité des applications de Trojan publicitaire
Augmentation de l'activité des Trojans espions et Trojans bancaires,
Apparition de nombreuses applications malveillantes sur Google Play.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.4498
Android.Spy.5106: Détection de diverses variantes du cheval de Troie, qui sont des versions modifiées des modifications non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.MobiDash.7804: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installation et de désinstaller d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.FakeMoney.7: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.WAppBomber.1.origin: Un utilitaire Android de messagerie en masse dans WhatsApp Messenger. Pour fonctionner, l'application nécessite d'accéder à la liste de contacts à partir du répertoire de l'utilisateur.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.MagicPush.1: Module publicitaire intégré à des applis Android. Il affiche des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés, ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lorsque vous ouvrez le programme, une publicité s'affiche.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du mois d'octobre, les analystes de Doctor Web ont détecté plus de 50 applications malveillantes sur Google Play. Parmi les malwares détectés, on voit des Trojans Android.Proxy.4gproxy.1, Android.Proxy.4gproxy.2, Android.Proxy.4gproxy.3 et Android.Proxy.4gproxy.4, qui transforment les appareils contaminés en serveurs proxy et les utilisent pour transférer discrètement un trafic tiers. Diverses modifications du premier cheval de Troie ont été distribuées sous le couvert du jeu Photo Puzzle, du programme Sleepify conçu pour lutter contre l'insomnie et de l'outil Rizzo The AI chatbot pour travailler avec un chatbot. Le deuxième Trojan a été dissimulé derrière l'application de prévisions météorologiques Premium Weather Pro. Le troisième a été inséré dans l'application — le carnet Turbo Notes. Le quatrième Trojan a été diffusé par les pirates sous le couvert de l'application Draw E conçu pour créer des images à l'aide d'un réseau de neurones.

L'utilitaire 4gproxy (détecté par Dr.Web comme Tool.4gproxy) est intégré dans ces applications malveillantes et permet d'utiliser des appareils Android comme serveurs proxy. En soi, il n'est pas nocif et peut être utilisé à des fins inoffensives. Cependant, dans le cas de ces chevaux de Troie, l'utilisation de tels proxys est effectuée à l'insu de l'utilisateur.

Dans le même temps, nos analystes ont détecté des dizaines de nouveaux Trojans de la famille Android.FakeApp, dont une partie a été diffusée sous le couvert d'applications financières (notamment, Android.FakeApp.1459, Android.FakeApp.1460, Android.FakeApp.1461, Android.FakeApp.1462, Android.FakeApp.1472, Android.FakeApp.1474 et Android.FakeApp.1485). En fait, leur tâche principale est de télécharger des sites frauduleux qui invitent les victimes potentielles à devenir des « investisseurs ». Les pirates demandent aux utilisateurs des données personnelles et les invitent à investir dans des projets ou des outils financiers prétendument rentables.

Autres programmes contrefaits (Android.FakeApp.1433, Android.FakeApp.1444, Android.FakeApp.1450, Android.FakeApp.1451, Android.FakeApp.1455, Android.FakeApp.1457, Android.FakeApp.1476 et d'autres) déguisés en différents jeux. Sous certaines conditions, au lieu d'exécuter des jeux, ils chargent des sites de casino ou de bookmaker en ligne.

Voici des exemples du fonctionnement de ces chevaux de Troie en tant que jeux :

Exemples de sites de casino en ligne qu'ils téléchargent :

Le Trojan Android.FakeApp.1478 effectue une tâche similaire, il se cache derrière une application de lecture d'actualités et de publications sur le sport et a été en mesure de télécharger des sites web de bookmakers.

De plus, de nouveaux chevaux de Troie sensés aider les utilisateurs Android à trouver du travail ont été détectés. L'un d'eux s’appelle Rixx (Android.FakeApp.1468), l'autre — Catalogue (Android.FakeApp.1471). Au lancement, ces applications malveillantes affichent une fausse offre d'emploi. Lorsque des victimes potentielles tentent de répondre à l'une des publicités, elles sont invitées à fournir des données personnelles sous une forme spéciale ou à contacter l '« employeur » via des messagers — par exemple, WhatsApp ou Telegram.

Vous trouverez ci-dessous des exemples du fonctionnement d'un de ces programmes. Le cheval de Troie affiche un formulaire de phishing sous couvert d'une fenêtre de CV ou propose de contacter « l’employeur » via le messager.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de septembre 2023

Thu, 26 Oct 2023 00:00:00 GMT

le 26 octobre 2023

Début septembre, Doctor Web a publié une étude sur Android.Pandora.2. C'est une porte dérobée qui crée un botnet à partir d'appareils infectés et qui est capable de mener des attaques DDoS sur commande. Mi septembre, nos experts ont parlé des applications malveillantes de la famille Android.Spy.Lydia. Ce sont des chevaux de Troie espions multifonctionnels ciblant les utilisateurs iraniens. Les représentants de la famille se déguisent en plateformes financières pour le trading en ligne et sont capables d'effectuer diverses actions malveillantes. Par exemple, intercepter et envoyer des SMS, collecter des informations sur les contacts dans l'annuaire téléphonique, voler le contenu du presse-papiers, télécharger des sites de phishing, etc. Les chevaux de Android.Spy.Lydia peuvent être utilisés dans toutes sortes de stratagèmes frauduleux, notamment, pour voler des données personnelles. De plus, avec leur aide, les attaquants peuvent voler de l'argent de leurs victimes.

Les statistiques de détection de Dr.Web pour les appareils mobiles Android, récoltées en septembre 2023, montrent une diminution de l'activité des applications malveillantes par rapport à celle du mois précédent. Notamment, les chevaux de Troie publicitaires des familles Android.HiddenAds et Android.MobiDash ont vu leur activité en baisse de 11,7 % et 26,3 % respectivement. Le nombre d'attaques liées aux Trojans espions a diminué de 25%, celui des rançongiciels Android.Locker — de 10,5%, et le nombre d'attaques des Trojans bancaires a baissé de 4,5%. Les programmes publicitaires indésirables représentent 14 % des détections.

En septembre, de nombreuses nouvelles menaces ont été détectées sur Google Play. Parmi elles, on voit des chevaux de Troie de la famille Android.FakeApp utilisés dans divers stratagèmes frauduleux, des programmes malveillants de la famille Android.Joker, qui abonnent leurs victimes à des services payants, ainsi que des chevaux de Troie publicitaires Android.HiddenAds.

LES TENDANCES PRINCIPALES DU MOIS DE SEPTEMBRE

Diminution de l'activité des programmes malveillants,
Apparition de nouvelles applications malveillantes sur Google Play

Menace " mobile " du mois

En septembre, Doctor Web a présenté les détails de son analyse du programme malveillant Android.Pandora.2, qui cible principalement les utilisateurs hispanophones. Les premiers cas d'attaques ont été enregistrés en mars 2023.

Ce Trojan infecte les téléviseurs intelligents et les décodeurs Android TV en les attaquant via des versions compromises de micrologiciels, ainsi que lors de l'installation de chevaux de Troie liées à des vidéos en ligne illégales.

La fonction principale d'Android.Pandora.2 est de mener des attaques DDoS de différents types. De plus, ce logiciel malveillant peut effectuer un certain nombre d'autres actions, telles que l'installation de ses propres mises à jour et le remplacement du fichier système hosts.

Une étude réalisée par des analystes de Doctor Web a montré que lors de la création de ce cheval de Troie, les auteurs de virus ont profité de l'expérience des auteurs de Linux.Mirai, , en prenant une partie de son code comme base. Ce dernier est largement utilisé depuis 2016 pour infecter les appareils IoT (Internet des objets) et effectuer des attaques DDoS sur divers sites Web.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3697: Trojan qui est conçu pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106: Trojan qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.Pandora.17: Applications malveillantes qui téléchargent et installent la porte dérobée Android.Pandora.2. Les attaquants intègrent souvent de tels chargeurs d'amorçage dans des applications de télévision intelligente destinées aux utilisateurs hispanophones.
Android.MobiDash.7804: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.

Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.FakeMoney.7: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement virtuel, qui n'a pas d'impact sur l'OS.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Packer.3.origin: Détection des programmes Android dont le code est chiffré et obscurci par l'utilitaire NP Manager.
Tool.ApkProtector.16.origin: Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.MagicPush.1: Module publicitaire intégré à des applis Android. Il affiche des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés, ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lorsque vous ouvrez le programme, une publicité s'affiche.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du mois de septembre, les analystes de Doctor Web ont détecté de nombreuses nouvelles applications malveillantes sur Google Play. Parmi elles, des chevaux de Troie ayant affiché de la publicité intrusive. Les pirates ont diffusé des malwares sous le couvert des jeux Agent Shooter (Android.HiddenAds.3781), Rainbow Stretch (Android.HiddenAds.3785), Rubber Punch 3D (Android.HiddenAds.3786) et Super Skibydi Killer (Android.HiddenAds.3787). Une fois installés sur des appareils Android, ces chevaux de Troie remplacent leurs icônes sur l'écran d'accueil par une version transparente. De plus, ils peuvent prétendre être un navigateur Google Chrome, en remplaçant les icônes par une copie correspondante. Lorsque les utilisateurs cliquent sur une telle icône, les chevaux de Troie lancent le navigateur et continuent à s'exécuter en arrière-plan. Cela permet aux chevaux de Troie de devenir moins visibles et réduit la probabilité de leur suppression. De plus, si le logiciel malveillant est arrêté, les utilisateurs le redémarrent, pensant qu'ils lancent le navigateur.

Nos experts ont également identifié de nouveaux programmes contrefaits de la famille Android.FakeApp. Certains d'entre eux (Android.FakeApp.1429, Android.FakeApp.1430, Android.FakeApp.1432, Android.FakeApp.1434, Android.FakeApp.1435, Android.FakeApp.1347 et d'autres) ont été diffusés sous couvert d’applications financières. Par exemple, des applications pour la négociation d'actions, des annuaires et des tutoriels sur l'investissement, la comptabilité immobilière et autres. En fait, leur tâche principale était de télécharger des sites frauduleux qui invitaient les victimes potentielles à devenir des « investisseurs ».

Les pirates tentaient de faire passer d'autres programmes contrefaits (par exemple, Android.FakeApp.1433, Android.FakeApp.1436, Android.FakeApp.1437, Android.FakeApp.1438, Android.FakeApp.1439 et Android.FakeApp.1440) pour des jeux. Dans certains cas, ils pouvaient vraiment fonctionner comme des jeux, mais leur fonction principale était de charger des sites de casino en ligne.

Voici quelques exemples du fonctionnement de tels programmes malveillants en mode jeu :

Exemples de sites de casino en ligne qu'ils téléchargent :

Dans le même temps, de nouveaux Trojans Android.Joker ont été trouvé sur Google Play. Ces applications malveillantes abonnaient les utilisateurs d'appareils Android à des services payants. L'un d'eux se cachait dans l'application avec la collection d'images Beauty Wallpaper HD, selon la classification de Doctor Web, il a reçu le nom Android.Joker.2216. L'autre a été distribué sous le couvert du messager en ligne Love Emoji Messenger et a été ajouté à la base de données virales Dr.Web comme Android.Joker.2217.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois d'août 2023

Wed, 27 Sep 2023 02:00:00 GMT

Le 27 septembre 2023

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en août 2023, les utilisateurs ont majoritairement rencontré des chevaux de Troie affichant de la publicité, ces Trojans appartenant aux familles Android.MobiDash et Android.HiddenAds. Les premiers représentent 72% des détections, tandis que l'activité des derniers a diminué de 8,87%.

Le nombre de Trojans espions et de rançongiciels détectés sur les appareils protégés a diminué de 13,88 % et 18,14 %, respectivement. Dans le même temps, l’activité des chevaux de Troie bancaires a augmenté de 2,13 %.

Au cours du mois d'août, un nouveau programme malveillant a été détecté sur Google Play.

Les tendances principales du mois d'août

Activité accrue des Trojans publicitaires Android.MobiDash
Diminution de l'activité des Trojans publicitaires Android.HiddenAds
Diminution de l'activité des Trojans espions et des rançongiciels
Augmentation du nombre d'attaques menées par des Trojans bancaires

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3697: Trojan qui est conçu pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106: Trojan qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.MobiDash.7802: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.Pandora.7: Applications malveillantes qui téléchargent et installent le cheval de Troie qui est la porte dérobée Android.Pandora.2. Les attaquants intègrent souvent de tels chargeurs d'amorçage dans des applications de télévision intelligente destinées aux utilisateurs hispanophones.

Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.FakeMoney.7
Program.FakeMoney.8: Applications qui prétendent permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.wSpy.1.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos (via l'appareil photo), et dispose également d'une fonction d'enregistreur de frappe.

Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement virtuel, qui n'a pas d'impact sur l'OS.
Tool.ApkProtector.16.origin: Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.

Adware.AdPush.39.origin
Adware.AdPush.36.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, le module collecte un certain nombre de données confidentielles, et est également capable de télécharger d'autres applications et d'initier leur installation.
Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.MagicPush.1: Module publicitaire intégré à des applis Android. Il affiche des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés, ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lors de l'ouverture du programme, l'utilisateur voit une publicité.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

En août 2023, le Trojan Android.HiddenAds.3766 a été détecté sur Google Play. Il a été distribué sous le couvert de l'application de collection d'images Exquisite Wallpaper Collection. Cependant, sa fonction principale est d’afficher de la publicité indésirable. Dans le même temps, Android.HiddenAds.3766 tente de se cacher de l'utilisateur. Le cheval de Troie remplace son icône sur l'écran d'accueil par une version transparente, et change également son nom. Le logiciel malveillant peut également la remplacer par une copie de l'icône du navigateur Google Chrome, qui, lorsqu'on clique dessus, lancera non pas l'application malveillante, mais le navigateur lui-même.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement

L'art de la manipulation : les escrocs volent de l'argent avec un logiciel d'administration distant d'appareils mobiles

Fri, 22 Sep 2023 01:00:00 GMT

Le 22 septembre 2023

Doctor Web alerte sur les cas fréquents de fraude utilisant des programmes d'accès à distance au bureau de l’ordinateur. Le programme le plus populaire parmi les pirates est RustDesk.

Compte tenu des récentes fuites de fragments de bases de données d'un certain nombre de banques (en Russie), les fraudeurs ont accès à des données personnelles. Ces données sont utilisées par les attaquants afin de gagner la confiance de leurs victimes. Se présentant comme des employés de la banque, les criminels signalent qu'une activité suspecte pouvant entraîner une perte d'argent a été remarquée sur le compte de la victime. Pour éviter le vol, ils demandent d'installer un programme de « protection » sur l'appareil. Les attaquants proposent de se rendre dans le store d'applications et de taper dans la barre de recherche support Sberbank, Support VTB, etc.

Source : nakopi-deneg.ru

En fait, jusqu'à récemment, des programmes tels que AweSun Remote Desktop, RustDesk Remote Desktop et AnyDesk Remote Desktop figuraient en tête des résultats de recherche sur Google Play. Cette situation est due au fait que le système de classement des applications dans Google Play prend en compte le choix des utilisateurs après une recherche. Dans le cas de cette fraude, les utilisateurs téléchargent des outils de prise de contrôle à distance pensant télécharger une appli de support d’une banque, ce qui explique que ces applis figurent en tête des résultats de recherche.

Il convient de noter que les programmes de contrôle à distance ne sont pas eux-mêmes malveillants mais que c’est bien sûr leur utilisation dans le cadre d’une fraude qui pose problème.

Une fois l'application de prise en main à distance installée, l’utilisateur pensant être entre les mains du support de sa banque, les escrocs demandent à la victime de leur fournir l’identifiant unique affiché, puis ils prennent le contrôle total de l'appareil. L'accès à l'appareil leur permet d'effectuer des manipulations sur le compte de la victime. Le problème est que la preuve du piratage dans une telle situation sera difficile, puisque du point de vue de la banque, c'est l'appareil du client qui interagit avec ses services.

Pour le moment, Google a retiré l'application RustDesk de Google Play Store. En conséquence, les attaquants utilisent maintenant des sites Web pour mettre en œuvre un système de fraude par contrôle à distance, par exemple, hххps://помощникбанков[.]рф.

Sur ces sites, les victimes potentielles sont invitées à télécharger l'application RustDesk que nous connaissons déjà. Dans certains cas, pour être plus convaincant, les noms et les icônes des applications téléchargées ont été remplacés par ceux d'une banque en particulier. La section avec les avis des « utilisateurs » (satisfaits) a également un impact psychologique supplémentaire.

Dr.Web Antivirus détecte l'application RustDesk en tant que Tool.RustDesk.1.origin, et les applications modifiées sont identifiées comme Android.FakeApp.1426. Pour plus de sécurité, le filtre d'URL bloque l'accès aux sites malveillants, empêchant ainsi les utilisateurs d'être victimes de tromperie.

Doctor Web rappelle :

Soyez vigilant lorsqu’une personne qui vous appelle se présente comme un employé de votre banque et vous demande d’installer quelque chose sur votre ordinateur. Une banque ne gère pas la sécurité de ses clients de cette manière.
N'installez jamais de logiciel sur vos appareils à la demande de quelqu’un.
Ne partagez pas les codes des SMS ou des notifications push avec qui que ce soit.
Si vous avez un doute sur la personne qui vous appelle de votre banque pour vous informer d'un débit non autorisé sur votre compte, raccrochez et rappelez votre conseiller bancaire.

En savoir plus sur Tool.RustDesk.1.origin

En savoir plus sur Android.FakeApp.1426

Indicateurs de compromission.

помощникбанков[.]рф
поддержкабанка[.]рф
поддержка-банка[.]рф
цбподдержка[.]рф
поддержкацб[.]рф
24поддержка[.]рф

sha1:2fcee98226ef238e5daa589fb338f387121880c6
sha1:f28cb04a56d645067815d91d079b060089dbe9fe
sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
sha1:535ecea51c63d3184981db61b3c0f472cda10092
sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

Doctor Web présente son Rapport ayant ciblé les appareils mobiles au cours du mois de juillet 2023

Fri, 15 Sep 2023 01:00:00 GMT

Le 15 septembre 2023

Selon les statistiques de détection obtenues par Dr.Web pour les appareils mobiles Android, au cours du mois de juillet 2023, l’activité des Trojans de la famille Android.HiddenAds a augmenté de 33,48%. Dans le même temps, les Trojans publicitaires de la famille Android.MobiDash ont diminué leur activité de 24%. Par rapport au mois précédent, le nombre d'attaques de Trojans espions a diminué de 3%. L'activité des chevaux de Troie bancaires a augmenté de 2,31%, et l'activité des rançongiciels Android.Locker a augmenté de 8,53%.

De nouvelles menaces ont été détectées sur Google Play. Parmi elles, un Trojan utilisé par les pirates dans leurs tentatives de voler de la crypto-monnaie, ainsi que d'autres applications malveillantes qui abonnent les internautes à des services payants.

Tendances principales du mois du juillet

Augmentation de l'activité des Trojans publicitaires Android.HiddenAds
Diminution de l'activité des Trojans publicitaires Android.MobiDash
Augmentation de l'activité des chevaux de Troie bancaires et des applications malveillantes espions
Nouvelles menaces sur Google Play

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3697: Trojan qui est conçu pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106: Trojan qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.Pandora.7
Android.Pandora.5: Applications malveillantes qui téléchargent et installent la porte dérobée Android.Pandora.2. Les attaquants intègrent souvent de tels chargeurs d'amorçage dans des applications de télévision intelligente destinées aux utilisateurs hispanophones.

Program.FakeMoney.7
Program.FakeMoney.8: Détection d'applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.SnoopPhone.1.origin: Application conçue pour surveiller les propriétaires d'appareils Android. Cette appli permet de lire les SMS, de recevoir des informations sur les appels téléphoniques, de suivre les coordonnées et d'effectuer un enregistrement audio de l'environnement.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement virtuel, qui n'a pas d'impact sur l'OS.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.ApkProtector.16.origin: Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.
Tool.Packer.3.origin: Détection des programmes Android dont le code est chiffré et obscurci par l'utilitaire NP Manager.

Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Adware.MagicPush.3: Module publicitaire intégrés à des applis Android. Il affiche des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés, ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lors de l'ouverture du programme, l'utilisateur voit une publicité.
Adware.AdPush.39.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, le module collecte un certain nombre de données confidentielles, et est également capable de télécharger d'autres applications et d'initier leur installation.

Menaces sur Google Play

En juillet 2023, le laboratoire de Doctor Web a détecté le Trojan Android.CoinSteal.105 sur Google Play, ce malware a été conçu pour voler des crypto-monnaies. Les attaquants ont tenté de le faire passer pour l’application officielle d'échange de crypto-monnaies P2B, P2B et l'ont diffusé sous un nom similaire — P2B Trade : Realize The P2Pb2b.

L'image suivante présente une capture d'écran du vrai programme à gauche et celle du Trojan - à droite.

La fausse appli a été promue par des cryptobloggers, à la suite de quoi le nombre de ses installations s'est avéré être deux fois plus important que celui de l'original.

Au lancement, ce cheval de Troie ouvre le site du système de distribution du trafic indiqué par les attaquants dans WebView, à partir duquel une chaîne de redirections vers d'autres ressources est exécutée. Actuellement, le cheval de Troie télécharge le site officiel de l'échange cryptographique https://p2pb2b.com, mais d'autres sites peuvent potentiellement être ciblés, notamment, frauduleux, contenant de la publicité, etc.

Après avoir téléchargé le site de l'échange cryptographique, Android.CoinSteal.105 y introduit des scripts JS, à l’aide desquels il remplace les adresses des portefeuilles cryptographiques saisies par les utilisateurs pour retirer des crypto-monnaies.

De plus, les cybercriminels ont de nouveau distribué sur Google Play des programmes malveillants qui abonnent les propriétaires d'appareils Android à des services payants. Entre autres, il s'agit du Trojan Android.Harly.80, qui a été dissimulé derrière l'appli interactive Desktop Pets – Lulu destinée à l'interaction avec un animal domestique virtuel.

Les autres applications malveillantes appartenaient à la famille Android.Joker, elles ont été ajoutées à la base virale Dr.Web comme Android.Joker.2170, Android.Joker.2171 et Android.Joker.2176. La première a été intégrée au programme Cool Charging Animation, conçu pour afficher les informations de charge de la batterie sur l'écran de verrouillage. La deuxième se cachait dans le programme Smart Counter. La troisième a été distribuée sous le couvert d'une collection d'images 4K HD Wallpaper utilisé pour changer le fond de l'écran d'accueil.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

Il primo antivirus russo per Android
Oltre 140 milioni di download solo da Google Play
Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis

Les Chevaux de Troie Android.Spy.Lydia se dissimulent derrière une plateforme de trading en ligne iranienne

Wed, 13 Sep 2023 00:00:00 GMT

Le 13 septembre 2023

Doctor Web a détecté de nouvelles versions des malwares Android.Spy.Lydia, trojans espions ciblant le système Android et capables de prendre le contrôle de l’appareil à distance. De plus, ces malwares possèdent un mécanisme d’auto-défense leur permettant de savoir s’ils sont lancés dans un émulateur ou sur un appareil de test et de stopper leur activité dans ce cas.

Les trojans sont distribués via des sites web pirates de supposées organisations financières ou bourses en ligne ciblant les utilisateurs en Iran. Un exemple de ce type de site, hxxp[:]//biuy.are-eg[.]com/dashbord/:

Sur cette page, les victimes sont invitées à entrer leurs données personnelles : nom, prénom, numéro de mobile, et N° de carte d’identité. Ensuite, l’utilisateur est redirigé vers la page hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php, qui les informe que pour accéder à la session de trading, il doit télécharger et installer un logiciel. Si il clique sur le bouton de téléchargement, ce n’est pas le logiciel mais bien le trojan Android.Spy.Lydia.1 qu’il télécharge.

Une fois lancé, le trojan récupère un lien vers une page de phishing sur la page hxxp[:]//teuoi[.]com, la page de phishing s’affiche ensuite via le composant WebView sans que le navigateur ne s’ouvre. La version du malware analysée par nos équipes a ouvert l’URL : hxxps[:]//my-edalatsaham[.]sbs/fa/app.php

En voici une capture d’écran :

Cette page contient un formulaire où l’utilisateur doit indiquer son numéro de carte d’identité, et il lui ai expliqué qu’après approbation de ce numéro, les dividences pourront lui être versées. A cette étape, le malware envoie à son serveur C&C l’information que le numéro a bien été recueilli et que l’appareil a bien été infecté.

Une fois qu’il a infecté l’appareil, le trojan se connecte à son hôte distant à ws[:]//httpiamaloneqs[.]xyz:80 , via WebSocket et attend qu’une commande soit envoyée simultanément à tous les appareils vérolés. Chaque commande comporte le numéro d’identifiant de l’appareil auquel elle s’adresse. La capture d’écran ci-dessous montre les commandes envoyées depuis le serveur C&C au botnet.

Android.Spy.Lydia est capable des actions suivantes :

Recueillir des informations sur les applications installées sur l’appareil
Masquer ou afficher son icône sur l’écran d’accueil de l’appareil
Couper le son de l’appareil
Envoyer le contenu des SMS entrants à un serveur ou sur un numéro spéicifé par les attaquants
Envoyer le contenu du presse-papier au serveur
Envoyer des SMS avec un texte personnalisé à certains numéros
Télécharger les liste des contacts du répertoire sur son serveur
Ajouter des contats au répertoire
Télécharger des page Internet en utilisant le composant WebView.

Ces capacités permettent au malware d’intercepter des SMS, de déterminer quelle appli bancaire utilise le propriétaire du téléphone, et d’effectuer des opérations via cette appli. Par exemple, le trojan peut lire les SMS en provenance de la banque, et peut également envoyer, grâce à la technologie A2P, de faux SMS sensés venir de la banque et demandant à l’utilisateur d’effectuer des actions sur son compte. En lisant la correspondance de l’utilisateur, les pirates peuvent se faire passer pour des personnes de confiance ou des connaissances et tenter de l’escroquer. Enfin, le malware peut by-passer l’authentification à deux facteurs et obtenir un accès complet à un compte bancaire.

Ce type d’attaques est en forte augmentation et d’après la Federal Trade Commission, le nombre d’escroqueries par SMS usurpant l’identité a été mutiplié par 20 entre 2019 et 2022. Les pertes financières des utilisateurs due à ce type d’attaques sont estimées à 300 millions de dollars en 2022.

Doctor Web rappelle aux utilisateurs la nécessité d’être vigilant lors de la réception de messages douteux, notamment de messages provenant d’une banque et demandant de donner des codes ou des identifiants. Les banques et autres organisations (assurances, trésor public etc) ne vous demanderont jamais de donner vos codes et identifiants par SMS, par téléphone ou par email. Doctor Web conseille également de toujours télécharger des applications provenant de sites officiels.

L’utilisation d’un antivirus est fortement recommandée.

Dr.Web Security Space pour Android détecte et supprime les trojans de la famille Android.Spy.Lydia.

Indicateurs de compromission

En savoir plus sur Android.Spy.Lydia.1

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de juin 2023

Wed, 06 Sep 2023 04:00:00 GMT

Le 06 septembre 2023

Les statistiques de détection de Dr.Web pour les appareils mobiles Android, en juin 2023, montrent une augmentation de l'activité des chevaux de Troie publicitaires de la famille Android.HiddenAds de 11%. Dans le même temps, l’activité d’Android.MobiDash a diminué de 15,94 %. Par rapport au mois précédent, le nombre d'attaques menées par les chevaux de Troie espions a diminué de 47% et le nombre d'attaques perpétrées par des Trojans bancaires a diminué de 12,23%. L’activité des rançongiciels Android.Locker a augmenté de 46%.

En juin, de nouvelles menaces ont été trouvées sur Google Play. Il s'agit notamment de faux logiciels malveillants de la famille Android.FakeApp, ainsi que des Trojans Android.Joker, qui abonnent les internautes à des services payants.

Les principales tendances du mois de juin

Augmentation de l'activité des Trojans publicitaires Android.HiddenAds
Diminution de l'activité des Trojans publicitaires Android.MobiDash
Diminution de l'activité des logiciels espions et des chevaux de Troie bancaires
Nouvelles menaces sur Google Play.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.Spy.5106: Trojan qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.HiddenAds.3697: Trojan qui est conçu pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.MobiDash.7795: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.
Android.Pandora.7: Applications malveillantes qui téléchargent et installent la porte dérobée Android.Pandora.2. Les attaquants intègrent souvent de tels chargeurs d'amorçage dans des applications de télévision intelligente destinées aux utilisateurs hispanophones.

Program.FakeMoney.7
Program.FakeMoney.8: Détection d'applications qui prétendent permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.Reptilicus.8.origin: Application qui est capable de surveiller les propriétaires d'appareils Android. Elle est capable de surveiller les cordonnées de l'appareil, de collecter des données sur la correspondance via SMS et les conversations sur les réseaux sociaux, d'écouter les appels téléphoniques et l'environnement, de créer des captures d'écran, de suivre les informations saisies sur le clavier, de copier des fichiers à partir de l'appareil et d'effectuer d'autres actions.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement virtuel, qui n'a pas d'impact sur l'OS.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.ApkProtector.16.origin: Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.MagicPush.3
Adware.MagicPush.1: Modules publicitaires intégrés à des applis Android. Ils affichent des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés, ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lors de l'ouverture du programme, l'utilisateur voit une publicité.
Adware.AdPush.39.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, le module collecte un certain nombre de données confidentielles, et est également capable de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du mois de juin 2023, les analystes de Doctor Web ont trouvé sur Google Play des applications de la famille Android.FakeApp. Certains d'entre elles ont été distribuées sous le couvert de programmes financiers, tels que des livres et manuels de référence, des applis de comptabilité à domicile, des logiciels d'accès aux informations boursières, par exemple, Android.FakeApp.1382, Android.FakeApp.1383, Android.FakeApp.1384, Android.FakeApp.1385, Android.FakeApp.1386, Android.FakeApp.1387 et d'autres. En fait, leur fonction principale est de télécharger des sites frauduleux prétendument liés à des investissements.

D'autres programmes de ce type ont été distribués sous le couvert de jeux. Par exemple, Android.FakeApp.1390, Android.FakeApp.1396, Android.FakeApp.1400 et Android.FakeApp.1401. Sous certaines conditions, ils ont pu télécharger des sites de casino en ligne.

Voici un exemple du fonctionnement de l'un de ces programmes contrefaits en tant que jeu, ainsi qu'un exemple du site téléchargé par ce programme :

De plus, en juin, des Trojans de la famille Android.Jocker qui abonnent leurs victimes à des services payants ont été détectés sur Google Play. Ils étaient dissimulés derrière les applications Funny Prank Sounds, Beauty 4K Wallpaper et Chat SMS. Selon la classification Dr.Web, ils ont reçu les noms Android.Joker.2143, Android.Joker.2152 et Android.Joker.2154 respectivement.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement