Alertes virales

Doctor Web : rapport viral du 3eme trimestre 2025

Wed, 01 Oct 2025 01:00:00 GMT

le 1er octobre 2025

Selon les statistiques de détection récoltées par l'antivirus Dr.Web, le nombre total de menaces détectées lors du 3eme trimestre 2025 a diminué de 4,23% par rapport au deuxième trimestre. Dans le même temps, le nombre de menaces uniques a augmenté de 2,17%. Le plus souvent, des logiciels publicitaires indésirables, des chevaux de Troie publicitaires et des scripts malveillants ont été détectés sur les appareils protégés. Le trafic de messagerie a été dominé par des scripts malveillants, des portes dérobées et divers chevaux de Troie tels que des bootloaders, des virus compte-gouttes (dropper) et des voleurs de mots de passe.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont été les plus susceptibles de rencontrer des encodeurs. Trojan.Encoder.35534, Trojan.Encoder.35209 et Trojan.Encoder.35067.

En juillet, les experts de Doctor Web ont parlé de la famille de chevaux de Troie Trojan.Scavenger conçue pour voler des crypto-monnaies et des mots de passe. Les attaquants les diffusaient sous l’apparence de mods, de cheatset de correctifs pour les jeux vidéo. Leur exécution s’appuyait sur des applications légitimes, en exploitant notamment la vulnérabilité de type DLL Search Order Hijacking.

En août, nos analystes de virus ont mis en garde contre la propagation de la porte dérobée multifonctionnelle Android.Backdoor.916.origin, une menace ciblant les appareils mobiles, utilisés par les représentants d’entreprises russes. Les cybercriminels la contrôlaient à distance, volant des données confidentielles avec son aide et traquant les victimes.

Le même mois, le laboratoire antivirus de Doctor Web a publié une étude sur une attaque ciblée du groupe Scaly Wolf contre une entreprise russe de construction de machines. Les attaquants ont utilisé un certain nombre d'outils malveillants, parmi lesquels la porte dérobée modulaire Updatar a joué un rôle central. Avec son aide, les attaquants ont tenté d'obtenir des données confidentielles depuis les ordinateurs infectés.

Au troisième trimestre, les analystes Internet ont identifié de nouveaux faux sites de la messagerie Telegram, ainsi qu'un certain nombre de plateformes financières frauduleuses. De plus, au cours des trois derniers mois, nos spécialistes ont enregistré l'apparition de dizaines d'applications malveillantes et indésirables dans le catalogue Google Play, dont les Trojans Android.Joker, qui abonnent les utilisateurs à des services payants et les faux programmes Android.FakeApp.

Tendances principales du 3eme trimestre

Diminution du nombre de menaces détectées sur les appareils protégés
Augmentation du nombre de menaces uniques qui ont attaqué les utilisateurs
Emergence de nouveaux faux sites imitant la messagerie Telegram et de ressources financières frauduleuses sur Internet
Distribution d'applications malveillantes Trojan.Scavenger qui ont volé de la cryptomonnaie et des mots de passe
Utilisation de la porte dérobée Android.Backdoor.916.origin pour espionner les représentants d'entreprises russes et voler des données confidentielles
Les Trojans publicitaires Android.MobiDash sont devenus la menace la plus courante pour les appareils Android
Diminution de l'activité des Trojans publicitaires Android.HiddenAds pendant le deuxième trimestre consécutif
Propagation de nombreuses menaces sur Google Play

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 3eme trimestre 2025 :

VBS.KeySender.7: Script malveillant qui, dans une boucle infinie, recherche des fenêtres contenant les textes suivants :mode extensions, разработчика et розробника et leur envoie un événement de clic sur la touche Échap, les forçant ainsi à fermer.
Adware.Downware.20091: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.Siggen31.34463: Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.
Adware.Ubar.20: Client torrent qui installe des logiciels indésirables sur l'appareil.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

W97M.DownLoader.2938: Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.
JS.Phishing.745: Script malveillant écrit en JavaScript qui crée une page web de phishing.
JS.Muldrop.371: Script JavaScript malveillant qui installe une charge "utile" sur le système.

Rançongiciels

Par rapport au deuxième trimestre, en quatrième trimestre 2025, le nombre de demandes pour le déchiffrement de fichiers touchés par les rançongiciels a augmenté de 3,02%.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandues au cours du 3eme trimestre 2025 :

Trojan.Encoder.35534 — 26.99% des demandes d'utilisateurs
Trojan.Encoder.35209 — 3.07% des demandes
Trojan.Encoder.35067 — 2.76% des demandes
Trojan.Encoder.41542 — 2.15% des demandes
Trojan.Encoder.29750 — 1.84% des demandes

Fraudes sur le Web

Au troisième trimestre 2025, les analystes Internet de Doctor Web ont continué à enregistrer l'apparition de faux sites imitant la messagerie Telegram, notamment utilisés par les fraudeurs pour tenter d'accéder aux comptes utilisateurs :

De plus, des sites Web financiers frauduleux ont été réintroduits. L'un de ces sites a attiré les utilisateurs vers la soi-disant « plateforme d'investissement du futur » Apple Trade AI, prétendument créée par Apple. Les cybercriminels promettaient aux victimes potentielles une possibilité de gagner plus de 4 000 $ par mois et, pour « accéder » au service, ils invitaient les internautes à s'inscrire en fournissant leurs données personnels.

D'autres ressources Internet invitaient à participer « à la nouvelle plateforme d'investissement de Meta » et à « créer une source de revenu constant de 4 000 $ par mois ». Pour accéder à la « plateforme », les visiteurs de ces sites devaient remplir un sondage et passer une procédure d'enregistrement.

Nos experts ont également identifié de nouvelles variantes de fausses plateformes d'investissement qui permettraient de gagner de l'argent en utilisant des robots de trading via WhatsApp.

Pour « utiliser » les services promis, les victimes potentielles ont été demandées de fournir des données personnelles :

Un certain nombre de sites frauduleux ciblaient des publics dans certains pays. Certains d'entre eux s'adressaient à des utilisateurs des pays de la CEI, qui se voyaient proposer par les attaquants d’ouvrir un « marché d'investissement fermé » et d'accéder à des investissements exclusifs via le service financier INSIDER X. Pour ce faire, les visiteurs devaient « laisser une demande » en indiquant des données personnelles.

Dans l'un des stratagèmes destinés aux utilisateurs russes, les attaquants ont proposé de répondre à une enquête et d'accéder à une « plateforme d'investissement » prétendument liée aux grandes sociétés pétrolières et gazières et au portail d'État des services publics :

D'autres sites ont été déguisés en services réels de banques russes et ont proposé de s'inscrire afin de « gagner à partir de 50 000 roubles par semaine » :

Les résidents d'un certain nombre d'autres États ont de nouveau été confrontés à des contrefaçons similaires. Sur l'un des sites, les utilisateurs du Kirghizistan se sont vu proposer de faire partie d'un programme populaire et d'investir dans la plus grande entreprise du pays, selon eux :

L'autre était prétendument liée à l'une des banques en Géorgie et invitait à rejoindre sa « plateforme d'investissement » :

Les fraudeurs ont présenté un faux site similaire comme appartenant à l'une des banques du Kazakhstan et ont promis aux utilisateurs un revenu de 60 000 tenges par mois :

Sur l'une des ressources Internet, les pirates, se faisant passer pour une société pétrolière et gazière turque, proposaient aux victimes potentielles de participer à une plateforme d'investissement et de gagner « jusqu'à 9 000 livres turques par jour » :

Parallèlement, les fraudeurs ont continué à exploiter le sujet de paiements et de compensations de l'État. Sur l'un des sites indésirables ciblant les utilisateurs du Kazakhstan, les visiteurs pouvaient prétendument vérifier l’éligibilité à une compensation monétaire et recevoir jusqu'à 5 000 000 tenges :

En savoir plus sur les sites non recommandés par Dr.Web.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au 3eme trimestre 2025, les utilisateurs ont le plus souvent été confrontés aux Trojans publicitaires Android.MobiDash. Les chevaux de Troie Android.HiddenAds, qui occupaient auparavant la première place, ont chuté à la deuxième place, avec une activité nettement réduite. La troisième place revient aux faux programmes malveillants Android.FakeApp.

Par rapport au deuxième trimestre, le nombre de détections de chevaux de Troie bancaires Android.BankBot a augmenté, tandis que le nombre de détections de chevaux de Troie Android.Banker et Android.SpyMax a diminué.

En août, les experts de Doctor Web ont parlé de la porte dérobée multifonctionnelle Android.Backdoor.916.origin, que les attaquants utilisaient pour voler des données confidentielles et espionner des représentants d'entreprises russes.

Au cours des 3 derniers mois, plus de 70 programmes malveillants ont été détectés sur Google Play. Parmi eux, les chevaux de Troie Android.Joker, qui abonnent les utilisateurs à des services payants, les faux programmes Android.FakeApp et le logiciel Program.FakeMoney.16, permettant prétendument de convertir des récompenses virtuelles en argent réel.

Les événements les plus importants du 3eme trimestre liés à la sécurité des appareils mobiles :

Activité accrue des chevaux de Troie publicitaires Android.MobiDash
Diminution de l'activité des Trojans publicitaires Android.HiddenAds
Augmentation de l'activité des chevaux de Troie bancaires Android.BankBot
Diminution du nombre d'attaques de chevaux de Troie bancaires Android.Banker et Android.SpyMax
Utilisation par les pirates de la porte dérobée multifonctionnelle Android.Backdoor.916.origin pour espionner les représentants des entreprises russes
Propagation de nombreuses menaces sur Google Play

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au 3eme trimestre 2025, consultez notre Rapport.

Doctor Web : rapport viral sur les menaces pour appareils mobiles du 3eme trimestre 2025

Wed, 01 Oct 2025 00:00:00 GMT

le 1er octobre 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au 3eme trimestre 2025, les Trojans Android.MobiDash affichant des publicités intempestives ont été les plus répandus. Par rapport au trimestre précédent, on observe une hausse de 18,19 % des détections sur les appareils des utilisateurs.

La deuxième place est occupée par les Trojans publicitaires Android.HiddenAds, dont l'activité est en baisse pour le deuxième trimestre consécutif. Au cours des trois derniers mois, leur détection chez les utilisateurs a chuté de 71,85 %. Ces applications malveillantes masquent leurs icônes pour les rendre plus difficiles à détecter et à supprimer, et affichent des publicités, y compris des vidéos en plein écran.

Les faux programmes malveillants Android.FakeApp, que les attaquants utilisent dans divers stratagèmes frauduleux, sont à nouveau à la troisième place. Le nombre de leurs détections a diminué de 7,49%. Au lieu de la fonctionnalité déclarée, ces chevaux de Troie chargent souvent divers sites Web, notamment, des sites frauduleux et malveillants, ainsi que des sites Web de casinos en ligne et de bookmakers.

Les chevaux de Troie bancaires les plus répandus restent les représentants de la famille Android.Banker, malgré une baisse de l'activité de 38,88 %. Les attaquants les utilisent pour accéder illégalement à des comptes bancaires et voler de l'argent. Ces chevaux de Troie peuvent afficher des fenêtres d'hameçonnage pour voler des identifiants et des mots de passe, imiter l'apparition de véritables programmes banque-client, intercepter des messages SMS pour obtenir des codes à usage unique, etc.

Ils sont suivis des chevaux de Troie Android.BankBot, qui ont été détectés 18,91 % plus souvent. Ils tentent également d'accéder aux comptes bancaires en ligne des utilisateurs en interceptant les codes de confirmation. Dans le même temps, ces chevaux de Troie bancaires peuvent exécuter diverses commandes de cybercriminels, et certains d'entre eux permettent de contrôler à distance les appareils infectés.

Le top trois est complété par les représentants de la famille Android.SpyMax basés sur le code source du cheval de Troie espion SpyNote. Ils ont été détectés 17,25 % moins souvent qu'au deuxième trimestre. Ces programmes malveillants ont un large éventail de fonctionnalités malveillantes, y compris la possibilité de contrôler à distance des appareils.

En août, nous avons rapporté une campagne visant à diffuser la porte dérobée multifonctionnelle Android.Backdoor.916.origin, que les cybercriminels utilisent pour voler des données confidentielles et espionner les utilisateurs d'appareils Android. Les attaquants ont envoyé des messages aux victimes potentielles via divers messagers, proposant d'installer un « antivirus » à partir d'un fichier APK joint. Le laboratoire antivirus de Doctor Web a découvert les premières versions de ce programme malveillant en janvier 2025 et continue de suivre son développement depuis. Selon nos experts, la porte dérobée est utilisée dans des attaques ciblées et n'est pas destinée à une distribution de masse. Les représentants des entreprises russes constituent la principale cible des cybercriminels.

Au cours du troisième trimestre, de nombreuses applications malveillantes et indésirables ont été publiées sur Google Play, et ont été installées plus de 1 459 000 fois. Parmi eux, on voit des dizaines de chevaux de Troie Android.Joker, qui abonnent leurs victimes à des services payants, on voit également de faux programmes Android.FakeApp. De plus, nos analystes de virus ont identifié un nouveau programme prétendument capable de convertir des récompenses virtuelles en argent réel.

Tendances principales du 3eme trimestre

Les chevaux de Troie publicitaires Android.MobiDash sont devenus les menaces les plus courantes
L'activité des chevaux de Troie publicitaires Android.HiddenAds continue de diminuer
Le nombre d'attaques par des chevaux de Troie bancaires de la famille Android.BankBot a augmenté
L'activité des chevaux de Troie bancaires Android.Banker et Android.SpyMax a diminué
Les pirates ont utilisé la porte dérobée multifonctionnelle Android.Backdoor.916.origin pour mener des attaques sur les représentants des entreprises russes
Propagation d'un grand nombre de programmes malveillants sur Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web d’un casino en ligne.
Android.Click.1812: Détection de mods malveillants de la messagerie WhatsApp, qui de manière invisible pour l'utilisateur peut charger différents sites en arrière-plan.
Android.HiddenAds.673.origin: Trojan qui est conçu pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires cachent généralement leur présence dans le système, notamment en masquant l'icône de l'application dans le menu de l'écran d'accueil.
Android.Triada.5847: Détection d'un Trojan packer de la famille Android.Triada, conçu pour protéger les Trojans contre l'analyse et la détection. Le plus souvent, les attaquants l'utilisent en conjonction avec des mods malveillants du messager Telegram, dans lesquels ces chevaux de Troie sont directement intégrés.

Program.FakeMoney.11: Applications prétendant permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles simulent l'accumulation de récompenses, mais pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, ils ont une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.CloudInject.5
Program.CloudInject.1: Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, le moddeur (l’utilisateur pratiquant le modding) reçoit une possibilité de contrôler ces programmes à distance — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.LuckyPatcher.2.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne, des bookmakers, ou des sites pour adultes.
Adware.Youmi.4: Détection d'un module publicitaire indésirable qui affiche des étiquettes publicitaires sur l'écran d'accueil des appareils Android.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent vers des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.

Menaces sur Google Play

Au troisième trimestre 2025, le laboratoire antivirus de Doctor Web a enregistré plus de 50 chevaux de Troie de la famille Android.Joker qui abonnent les internautes à des services payants dans le catalogue Google Play. Ils ont été distribués sous le couvert de divers logiciels, notamment des messageries instantanées, toutes sortes d'utilitaires système, des éditeurs d'images, des programmes de photographie, de traitement de documents, etc.

L'un des chevaux de Troie a été caché dans le programme d'optimisation du système Clean Boost (Android.Joker.2412), l'autre a été trouvé dans l'application Convert Text to PDF (Android.Joker.2422) conçu pour convertir du texte en documents PDF

De plus, nos spécialistes ont trouvé d'autres faux programmes Android.FakeApp ,utilisés dans des stratagèmes frauduleux. Comme auparavant, certains d'entre eux ont été présentés par les cybercriminels comme des applications financières — répertoires, tutoriels, logiciels pour accéder à des services d'investissement. Ces faux programmes chargeaient des sites frauduleux. D'autres Trojans Android.FakeApp ont été distribués sous le couvert de jeux et, sous certaines conditions, au lieu de la fonctionnalité promise, ils téléchargeaient des sites de bookmakers et de casinos en ligne.

Exemples de chevaux de Troie Android.FakeApp déguisés en applications financières. Android.FakeApp.1889 proposait aux utilisateurs de vérifier leur littératie financière, et Android.FakeApp.1890 invitait les internautes à développer la pensée financière

De plus, nos experts ont trouvé un programme indésirable Program.FakeMoney.16, qui a été distribué sous la forme de l'application Zeus Jackpot Mania. Les utilisateurs de ce logiciel recevaient des récompenses virtuelles, censées pouvoir être converties en argent réel et retirées de l'application.

Program.FakeMoney.16 dans le catalogue Google Play

Pour « retirer » l'argent, le programme a demandé un certain nombre de données, mais aucun paiement n'a finalement été reçu par la victime.

Program.FakeMoney.16 demande un nom d'utilisateur complet et des références de compte bancaire

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web : rapport viral du deuxième trimestre 2025

Tue, 01 Jul 2025 04:00:00 GMT

le 1er juillet 2025

Selon les statistiques de détection récoltées par l'antivirus Dr.Web, le nombre total de menaces détectées lors du deuxième trimestre 2025 a diminué de 7,38% par rapport au premier trimestre. Le nombre de menaces uniques a également diminué de 23,10%. Le plus souvent, des logiciels publicitaires indésirables, des portes dérobées, des chevaux de Troie publicitaires et des scripts malveillants ont été détectés sur des appareils protégés. Dans le trafic e-mail, les menaces les plus courantes étaient les chevaux de Troie téléchargeurs, divers scripts malveillants et les trojans droppers.

En avril, les analystes de Doctor Web ont signalé un cheval de Troie trouvé dans le firmware d'un certain nombre de smartphones Android. En utilisant ce trojan, les cybercriminels ont volé de la cryptomonnaie. De plus, nos experts ont identifié un cheval de Troie Android que les attaquants ont introduit dans l'une des versions d'une appli de cartographie populaire et ils l'ont utilisé pour espionner les militaires russes.

Au cours du deuxième trimestre, nos analystes Internet ont découvert de nombreux nouveaux sites frauduleux. Parmi eux figurent des sites Web de plateformes éducatives inexistantes qui auraient permis à des victimes potentielles de suivre une formation en ligne et d'améliorer leurs compétences, ainsi que des sites Web d'investissement qui promettaient des gains rapides et faciles.

Les statistiques de détection sur les appareils mobiles ont montré une diminution de l'activité des trojans publicitaires Android.HiddenAds, cependant cette famille de programmes malveillants reste la menace Android la plus courante. Dans le même temps, au deuxième trimestre, notre laboratoire antivirus a trouvé de nombreuses nouvelles menaces dans le catalogue Google Play.

Tendances principales du deuxième trimestre

Diminution du nombre de menaces détectées sur les appareils protégés
Diminution du nombre de menaces uniques impliquées dans les attaques
L'émergence de nombreux sites Web frauduleux prétendument liés à l'éducation et à la finance
Une attaque du trojan espion ciblant les militaires russes à l'aide d'une application de cartographie populaire pour les appareils Android
Détection d'un cheval de Troie conçu pour voler de la cryptomonnaie dans le firmware d'un certain nombre de smartphones Android
Les trojans publicitaires Android.HiddenAds restent toujours les menaces les plus propagées ciblant Android
De nouvelles applications malveillantes ou indésirables ont été détectées sur Google Play

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 2eme trimestre 2025 :

VBS.KeySender.6: Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
Adware.Downware.20091: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.BPlug.4242
Trojan.BPlug.3814: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
Trojan.Siggen30.53926: Le processus hôte du framework Electron modifié par les pirates, imitant le composant d'application Steam (Steam Client WebHelper) et chargeant la porte dérobée JavaScript.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
Win32.HLLW.Rendoc.3: Ver réseau qui est propagé entre autres via des supports amovibles.
W97M.DownLoader.2938: Famille de trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
PDF.Phisher.867: Documents PDF utilisés dans des newsletters de phishing.

Rançongiciels

Au deuxième trimestre 2025, le nombre de demandes pour le déchiffrement de fichiers touchés par les rançongiciels à diminué de 14,65%, par rapport au premier trimestre.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandus au cours du 2eme trimestre 2025 :

Trojan.Encoder.35534 — 24.41% des demandes d'utilisateurs
Trojan.Encoder.35209 — 4.41% des demandes d'utilisateurs
Trojan.Encoder.29750 — 2.71% des demandes d'utilisateurs
Trojan.Encoder.35067 — 2.71% des demandes d'utilisateurs
Trojan.Encoder.41868 — 2.71% des demandes

Fraudes sur le Web

Au cours du deuxième trimestre de 2025, les analystes Internet de Doctor Web ont identifié un certain nombre de sites Web frauduleux prétendument liés au secteur de l'éducation. Ainsi, les ressources Internet qui proposaient de suivre une formation dans certains métiers se sont multipliées. Par exemple, les plateformes Academy et LearnIT KZ conçues pour les utilisateurs kazakhs, promettaient de « maîtriser le métier de responsable SMM en 3 mois » et de « devenir analyste de données ».

Sur d'autres sites, les victimes potentielles étaient incitées à consulter divers cours en ligne. Parmi eux figuraient des cours d'anglais et des compétences en gestion de l'argent sur des plateformes comme EnglishPro et FinCourse:

Le site frauduleux du service « Éducation financière » prétendait aider les visiteurs à améliorer leurs connaissances en finances — il proposait aux visiteurs de « maîtriser leurs finances et de garantir leur avenir » :

Pour « accéder » aux soi-disant services annoncés, ces sites demandent de s’enregistrer en indiquant des données personnelles — par exemple, nom, numéro de téléphone portable, adresse e-mail, etc. Ainsi ces données sont accumulées entre les mains d'intrus et peuvent ensuite être utilisées dans divers stratagèmes frauduleux.

Dans le même temps, de nouveaux sites frauduleux proposant de prétendus investissements sont apparus, les cybercriminels y présentent souvent de faux sites comme étant liés à des entreprises et des services bien connus. Par exemple, l'un d'eux proposait aux utilisateurs de participer à un projet innovant basé sur les technologies de l'intelligence artificielle. Les pirates ont tenté de faire passer cette ressource pour le service du constructeur automobile Audi. La ressource aurait été autorisée à échanger automatiquement des cryptomonnaies et à recevoir un revenu élevé garanti. Pour « accéder » au service, un montant de départ de 250 € était nécessaire.

Un autre « projet d'investissement » serait lié au réseau social TikTok. Les visiteurs du site frauduleux ont été invités à répondre à une courte enquête, après quoi ils ont été invités à fournir des données personnelles pour l'enregistrement et l'accès au service promis :

De plus, d'autres sites frauduleux déguisés en ressources Web officielles de WhatsApp Messenger ont été identifiés. Sur l'une de ces ressources, les visiteurs ont été invités à recevoir des pièces numériques, chacune « apportant au propriétaire 15 € par jour ». L'utilisateur prétendument bénéficiaire pouvait recevoir 160 «pièces", mais pour commencer à « gagner dessus », il devait enregistrer un compte, en fournissant des données personnelles. En réalité, la victime potentielle n'a reçu aucun actif numérique, et ses données se sont avérées être entre les mains des escrocs.

Un autre faux site WhatsApp aurait fourni l'accès à un autre bot de trading basé sur des développements "uniques". Les utilisateurs ont été invités à « lancer WhatsApp Bot et gagner de l'argent automatiquement ». Pour ce faire, ils étaient traditionnellement tenus de s'enregistrer en indiquant leurs données personnelles, qui ont ensuite été transférées aux attaquants.

Les fraudeurs ont également ciblé les utilisateurs de certains pays. Par exemple, les résidents russes pourraient faire face à des sites Web qui proposent de « réaliser leurs rêves » avec l'un ou l'autre service d'investissement. Les attaquants ont utilisé le même modèle pour concevoir ces ressources, ne modifiant que leur apparence, ainsi que les noms de sites inexistants.

Il est à noter que des sites basés sur le même modèle ont été créés pour les résidents d'autres pays — par exemple, l'Ouzbékistan :

L'un des sites frauduleux identifiés a attiré les utilisateurs russophones vivant en Europe. Sur celui-ci, les cybercriminels promettaient aux victimes potentielles un revenu passif pouvant aller jusqu'à 1 000 € par semaine « à l'aide de solutions financières innovantes d'une nouvelle génération » d'une certaine plateforme LevelUPTrade :

Les utilisateurs français pourraient être victimes d'intrus offrant l'accès au logiciel de trading automatisé inexistant TraderAI. Avec son aide, les victimes potentielles auraient eu la possibilité de gagner à partir de 3 500 € :

Pour les résidents du Mexique, les escrocs ont également préparé un « système d'échange intelligent » — QuantumIA. C'est l'une des variantes du célèbre pseudo-système de négociation Quantum System ou QuantumAI, qui permettrait de négocier automatiquement sur les marchés financiers en utilisant l'informatique quantique et les technologies d'intelligence artificielle.

Sur un autre site, des fraudeurs auraient offert des services d'investissement aux utilisateurs mexicains au nom d'une grande banque — leur promettant une chance de gagner 16 000 pesos mexicains dans un court laps de temps après l'inscription. Pour ce faire, il est nécessaire d'indiquer des données personnelles.

Les utilisateurs allemands risquaient d'être victimes de la fausse plateforme de trading Lucrosa Infinity, dont l'image est exploitée sous une forme ou une autre par les cybercriminels depuis plusieurs années. Sur l'un des sites frauduleux, les attaquants ont proposé de « commencer à investir et d'ouvrir la porte à l'indépendance financière » :

Les cybercriminels ont également proposé aux internautes du Canada d'utiliser des services « uniques » qui fourniraient un revenu élevé grâce aux investissements et au commerce de cryptomonnaie. Par exemple, les sites frauduleux identifiés faisaient de la publicité pour des « plateformes » telles que BitcoinFusionPro et BitcoinReaction. Ils auraient permis aux clients de gagner 1 000 $ CA par jour en investissant « seulement » 350 $ :

Les résidents de Pologne ont également été confrontés à de faux sites Web similaires. L'un d'euxpromettait aux victimes potentielles de gagner entre 950 $ et 2 200 $ par jour avec « le logiciel de gestion de cryptomonnaie le plus avancé au monde » :

Un autre site proposait d'investir 250 € et de gagner 700 € par jour :

L'une des ressources frauduleuses promettait aux utilisateurs polonais « la possibilité de travailler à domicile et de gagner de l'argent décent » grâce au système automatisé Click Money. Avec son aide, les personnes sans expérience de trading peuvent prétendument recevoir jusqu'à 64 000 000 de zlotys polonais par an :

En savoir plus sur les sites non recommandés par Dr.Web

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires Android.HiddenAds se sont avérés les logiciels malveillants les plus courants au deuxième trimestre de 2025. Par rapport au trimestre précédent, les utilisateurs les ont rencontrés un peu moins souvent. Viennent ensuite les chevaux de Troie publicitaires Android.MobiDash et les faux logiciels malveillants Android.FakeApp. Dans le même temps, l'activité des premiers a augmenté et celle des autres a diminué.

Parmi les chevaux de Troie bancaires, il y avait aussi une dynamique multidirectionnelle. Par exemple, il y a eu plus d'attaques de la part de représentants de la famille Android.Banker. Dans le même temps, les trojans des familles Android.BankBot et Android.SpyMax ont été détectés moins souvent sur les appareils protégés.

Au deuxième trimestre, les spécialistes de Doctor Web ont détecté le trojan Android.Clipper.31 dans le firmware d'un certain nombre de smartphones. Ce programme malveillant a été caché dans une version modifiée de WhatsApp Messenger et il a été utilisé pour voler des cryptomonnaies aux propriétaires d'appareils infectés. De plus, nos analystes ont identifié le logiciel malveillant Android.Spy.1292.origin. Les cybercriminels l'ont introduit dans l'une des versions du logiciel de cartographie Alpine Quest et l'ont utilisé pour espionner les militaires russes.

Au cours des trois derniers mois, des dizaines de menaces ont été trouvées dans le catalogue Google Play. Dont les faux logiciels malveillants Android.FakeApp et un nouveau logiciel indésirable, Adware.Adpush.21912.

Les événements les plus importants du deuxième trimestre liés à la sécurité des appareils mobiles :

Diminution de l'activité des trojans publicitaires Android.HiddenAds
Activité accrue des chevaux de Troie publicitaires Android.MobiDash
Augmentation des cas de détection des trojans bancaires Android.Banker
Diminution du nombre d'attaques de chevaux de Troie bancaires Android.BankBot et Android.SpyMax
Détection d'un cheval de Troie conçu pour voler des cryptomonnaies, qui se cachait dans le firmware d'un certain nombre de smartphones Android
Détection d'un cheval de Troie espion ciblant des militaires russes
Apparition de nouvelles menaces sur Google Play

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au deuxième trimestre 2025, consultez notre Rapport.

Doctor Web présente son aperçu de l'activité virale ayant ciblé les appareils mobiles au deuxième trimestre 2025

Tue, 01 Jul 2025 01:00:00 GMT

le 1er juillet 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires de différentes familles étaient les logiciels malveillants les plus courants au deuxième trimestre 2025. L'activité la plus élevée a été observée de la part des représentants du groupe Android.HiddenAds, malgré le fait que les utilisateurs les rencontraient 8,62% moins souvent. Les trojans publicitaires Android.MobiDash sont en deuxième position, le nombre d'attaques avec leur participation a augmenté de 11,17 %. Les logiciels malveillants Android.FakeApp, qui sont utilisés dans divers stratagèmes frauduleux, suivent les deux premiers groupes — ils ont été détectés sur les appareils protégés 25,17 % moins souvent.

Une augmentation de l'activité des trojans bancaires Android.Banker de 73,15 % par rapport au trimestre précédent a également été enregistrée. Dans le même temps, un certain nombre d'autres familles ont été détectées moins souvent ; par exemple, Android.BankBot — de 37,19 % et Android.SpyMax — de 19,14 %.

En avril, nos analystes ont signalé une campagne à grande échelle visant à dérober des cryptomonnaies aux propriétaires de smartphones Android. Dans ce cadre, les attaquants ont introduit le cheval de Troie Android.Clipper.31 dans le firmware d'un certain nombre d'appareils, le cachant dans une version modifiée de l'application WhatsApp. Ce malware intercepte les messages envoyés et reçus dans le messenger, recherche dans les messages des adresses de portefeuilles cryptographiques Tron et Ethereum et en remplace par des adresses appartenant aux pirates. Le trojan cache cette substitution, et les utilisateurs d'appareils infectés voient dans ces messages des portefeuilles « corrects ». De plus, Android.Clipper.31 envoie toutes les images aux formats jpg, png et jpeg à un serveur distant afin d'y rechercher des phrases mnémoniques pour les portefeuilles cryptographiques des victimes.

Au mois d'avril, nous avons également parlé d'un cheval de Troie espion visant des militaires russes. Le malware Android.Spy.1292.origin сa été dissimulé derrière l'une des versions modifiées du logiciel de cartographie Alpine Quest. Il a été distribué à la fois via un faux canal Telegram appartenant aux attaquants, et via l'un des catalogues russes d'applications Android. Android.Spy.1292.origin transmettait diverses données confidentielles aux attaquants. Parmi celles-ci figuraient des comptes d'utilisateurs, leurs numéros de téléphone portable, les contacts de l'annuaire téléphonique, des informations sur la géolocalisation de l'appareil, ainsi que sur les fichiers qui y ont été stockés. Sur commande des attaquants, le cheval de Troie pouvait voler des fichiers spécifiés. En particulier, les auteurs de virus s'intéressaient aux documents confidentiels transmis par des messagers populaires, ainsi qu'au fichier journal de géolocalisation du programme Alpine Quest.

Au cours du deuxième trimestre, le laboratoire de Doctor Web a révélé de nouvelles menaces sur Google Play. Parmi eux on voit divers chevaux de Troie, ainsi que des logiciels publicitaires indésirables.

Tendances principales du deuxième trimestre

Diminution de l'activité des trojans publicitaires Android.HiddenAds
Augmentation de l'activité des trojans publicitaires Android.MobiDash
Les trojans bancaires Android.Banker ont été détectés sur les appareils protégés plus souvent qu'au trimestre précédent
Le nombre d'attaques des familles de trojans bancaires Android.BankBot et Android.SpyMax a diminué
Un trojan conçu pour voler de la cryptomonnaie a été détecté dans le firmware d'un certain nombre de smartphones Android
Les attaquants ont distribué un cheval de Troie qui espionnait les militaires russes
De nouvelles menaces ont été détectées sur Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: Trojans conçus pour afficher des publicités. Les représentant de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web du casino en ligne.

Program.FakeMoney.11: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, ils ont une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transférer des récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.CloudInject.1: Détection des applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et la désinstallation d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application, conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.3
Tool.NPMod.1: Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.
Tool.SilentInstaller.14.origin: Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Il n'est pas malveillant, mais peut être utilisé pour protéger les programmes inoffensifs et les chevaux de Troie.

Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.AdPush.3.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Basement.1: Applications affichant des publicités indésirables qui redirigent souvent vers des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.Jiubang.1: Logiciel publicitaire indésirable conçu pour les appareils Android, qui, lors de l'installation d'applications, affiche une bannière avec des programmes recommandés pour l'installation.

Menaces sur Google Play

Au cours du deuxième trimestre 2025, les analystes de Doctor Web ont détecté plusieurs dizaines de menaces dans le catalogue Google Play, y compris une variété de faux programmes Android.FakeApp. Ces chevaux de Troie ont de nouveau été activement distribués sous le couvert d'applications financières et au lieu des fonctionnalités promises, ils étaient en mesure de télécharger des sites frauduleux.

Android.FakeApp.1863 et Android.FakeApp.1859 sont des exemples de chevaux de Troie détectés. Le premier a été caché dans le programme TPAO ciblait les utilisateurs turcs, à qui il était proposé de « gérer facilement leurs dépôts et leurs revenus ». Les pirates tentaient de faire passer le deuxième trojan pour un « assistant financier » Quantum MindPro, conçu pour un public francophone

Les jeux restent une autre "couverture" courante pour de tels programmes contrefaits. Sous certaines conditions, au lieu d'exécuter des jeux, ils chargent des sites de casino ou de bookmaker en ligne.

Android.FakeApp.1840 (Pino Bounce) est l'un des faux jeux qui pouvait télécharger un site de casino en ligne

Dans le même temps, nos spécialistes ont identifié un nouveau logiciel publicitaire indésirable Adware.Adpush.21912. Il était caché dans le programme avec des documents d'information sur les cryptomonnaies Coin News Promax. Adware.Adpush.21912 affiche des notifications qui, lorsqu'elles sont cliquées, téléchargent un lien spécifié par le serveur de gestion dans WebView.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web : rapport viral du 1er trimestre 2025

Thu, 27 Mar 2025 00:00:00 GMT

le 27 mars 2025

Selon les statistiques de détection récoltées par Dr.Web Antivirus, le nombre total de menaces détectées lors du premier trimestre 2025 a augmenté de 7% par rapport au quatrième trimestre 2024. Dans le même temps, le nombre de menaces uniques a diminué de près d'un tiers, soit de 27,5 %. Cela suggère que les attaquants, ayant légèrement augmenté l'intensité des attaques, ont en revanche utilisé plus souvent les mêmes programmes malveillants et indésirables. Les scripts malveillants à diverses fonctionnalités, ainsi que les chevaux de Troie publicitaires et les logiciels publicitaires, ont été les plus largement utilisés.

Les chevaux de Troie les plus fréquemment détectés dans le courrier électronique sont des chevaux de Troie « droppers » et « downloaders », des logiciels publicitaires, des scripts malveillants et des chevaux de Troie conçus pour lancer diverses menaces sur les ordinateurs attaqués.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont été les plus susceptibles de rencontrer les encodeurs Trojan.Encoder.35534, Trojan.Encoder.35209 et Trojan.Encoder.35067.

En janvier, le laboratoire de Doctor Web a révélé une campagne active d'extraction de la crypto-monnaie Monero, organisée à l'aide de nombreux programmes malveillants différents. Pour masquer certains d'entre eux, les attaquants ont utilisé la stéganographie — une technique qui permet de cacher des données parmi d'autres données, par exemple, dans des images.

Dans le même temps, au cours du premier trimestre, nos analystes Internet ont enregistré une augmentation du nombre de sites frauduleux visant à pirater des comptes d'utilisateurs de Telegram.

Dans le segment des menaces mobiles, on constate une augmentation de l'activité des chevaux de Troie publicitaires et de certaines familles de chevaux de Troie bancaires ciblant le système d'exploitation Android. Dans le même temps, les experts de Doctor Web ont détecté de nouvelles applications malveillantes sur Google Play.

Tendances principales du 1er trimestre

Croissance du nombre de menaces détectées sur les appareils protégés
Diminution du nombre de menaces uniques impliquées dans les attaques
Augmentation du nombre de sites d'hameçonnage créés pour voler des comptes Telegram
Croissance de l'activité d'un certain nombre de familles de chevaux de Troie publicitaires et bancaires ciblant Android
Apparition de nouveaux programmes malveillants sur Google Play

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 1er trimestre 2025 :

VBS.KeySender.6: Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
Adware.Downware.20091: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.BPlug.4242: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
Trojan.Siggen30.53926: Processus hôte du framework Electron modifié par les pirates, imitant le composant d'application Steam (Steam Client WebHelper) et chargeant la porte dérobée JavaScript.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
Trojan.AVKill.63950: Compte-gouttes qui installe la porte dérobée JS.BackDoor.42 sur les ordinateurs exécutant Windows.
Trojan.Inject5.13806: Logiciel malveillant conçu pour les ordinateurs Windows, qui est créé à l'aide du langage de script AutoIt. Il lance plusieurs processus système, dans lesquels il injecte le Trojan espion Trojan.Fbng, que les attaquants peuvent utiliser comme Trojan bancaire.

Rançongiciels

Par rapport au quatrième trimestre 2024, le 1er trimestre 2025 enregistre une baisse du nombre de demandes pour le déchiffrement de fichiers touchés par des rançongiciels de 9,3%.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandus au cours du 1er trimestre 2025 :

Trojan.Encoder.35534 — 11.8% des demandes
Trojan.Encoder.35209 — 5.9% des demandes
Trojan.Encoder. 35067 — 3.5% des demandes
Trojan.Encoder.38200 — 2.3% des demandes
Trojan.Encoder.37369 — 1.9% des demandes

Fraudes sur le Web

Au premier trimestre 2025, les analystes Internet de Doctor Web ont noté l'émergence de nombreux nouveaux sites d'hameçonnage pour voler des comptes de messagerie Telegram. Parmi les variantes fréquemment rencontrées figuraient de fausses pages d'authentification et des pages de support signalant des problèmes présumés liés à une violation des conditions d'utilisation du service.

De faux sites Web de boutiques en ligne, où des intrus invitaient des victimes potentielles à se connecter à leur compte, se sont à nouveau répandus.

Formulaire d'authentification d'hameçonnage sur un faux site Web de l'une des boutiques en ligne russes

Nos spécialistes ont continué à enregistrer des sites frauduleux avec toutes sortes de « bonnes affaires », telles que l'accès à des revenus faciles ou rapides, la réception de certains cadeaux, la participation à des promotions, etc. Par exemple, l'un des programmes a été conçu pour les résidents du Royaume-Uni. On leur proposait de recevoir des cartes de transport « en édition limitée », à l’occasion de l'anniversaire d'un transporteur, qui offraient une utilisation gratuite des services de transport public pendant une longue période.

Sites frauduleux offrant une chance d'obtenir des cartes de transport « promotionnelles » First Essex et Oyster pour une utilisation gratuite des transports en commun

Les utilisateurs devaient répondre à plusieurs questions, puis jouer à un jeu consistant en l’ouverture de boîtes virtuelles avec des cadeaux (le « gain » dans de tels scénarios est défini à l'avance). En cas de réussite au jeu, ils devaient fournir des données personnelles et payer 2 £ pour recevoir la carte promise.

La victime potentielle doit trouver une carte en cliquant sur l'une des boîtes puis doit soumettre ses données personnelles et payer 2 £ pour la recevoir

Formulaire de saisie des coordonnées bancaires pour le paiement d'une carte de transport promotionnelle inexistante

Les attaquants continuent d'attirer des victimes potentielles avec toutes sortes de plateformes de trading avec des algorithmes « uniques », y compris ceux prétendument basés sur des technologies d'intelligence artificielle. Dans le même temps, les fraudeurs utilisent les noms de personnalités célèbres et se cachent derrière de vraies entreprises et services, affirmant qu'ils leur sont associés. L'un des scénarios actuels est la promesse de gagner de l'argent en utilisant certains services spécialisés de Telegram, WhatsApp et d'autres entreprises.

Ainsi, certains sites annoncent toutes sortes de plateformes d'IA, telles que Telegram AI et WHATSAPP AI qui pourraient prétendument rapporter à partir de 14 000 € par mois grâce à l'utilisation d'un « système de trading automatisé » :

D'autres schémas ont exploité le thème des bots de trading, qui sont souvent présentés comme des outils créés directement par les propriétaires de messageries instantanées. Par exemple, l'un des sites a promis que le « bot de Pavel Durov », Telegram.AI, permettrait de gagner à partir de 2 500 € par mois, et un autre a proposé d'utiliser le WhatsApp Bot, prétendument créé par Mark Zuckerberg, pour obtenir jusqu'à 500 € par jour.

Un autre site frauduleux propose de s'inscrire sur la « plateforme Telegram », qui aurait été lancée directement à partir du navigateur du smartphone, négocie automatiquement des actions de sociétés mondiales et rapporte 10 000 € par mois :

Un site a promis « à chaque habitant d'Europe » un revenu de 5 000 € par mois à l'aide de certains algorithmes WhatsApp basés sur l'intelligence artificielle :

Une variante courante d'un stratagème frauduleux fondé sur un système de trading fictif basé sur l'IA est la plateforme scam " Formule de la richesse ", qui effectuerait prétendument des opérations de trading en une fraction de seconde, grâce à l'analyse d'une énorme quantité de données. Toutes sortes de sites de ce système inexistant proposent aux visiteurs de se familiariser avec la vidéo d’explication et de s'inscrire à une consultation avec le « bureau des solutions anti-crise ». Les fraudeurs s'intéressent principalement aux utilisateurs européens, en particulier tchèques, à qui l'on promet une rentabilité de 1 000 € par jour « à vie ». Un dépôt minimum de 250 € est exigé des victimes potentielles pour accéder au système.

D'autres scénarios similaires restent populaires — par exemple, générer des revenus en utilisant un logiciel spécialisé particulier. Ainsi, l'un des sites a invité les utilisateurs tchèques à gagner des dizaines de milliers de couronnes par jour grâce au « logiciel cryptographique le plus intelligent au monde » :

Un autre portail frauduleux promettait de gagner plus de 4,7 millions de couronnes par mois en utilisant un certain logiciel de trading « 10K EVERY DAY APP » :

Dans le même temps, les utilisateurs ont continué à rencontrer des sites Web d'investissement fictifs qui ciblent des résidents de différents pays. Par exemple, pour le public du Kazakhstan, les fraudeurs ont préparé une autre plateforme pour des gains passifs par le biais du commerce du pétrole et du gaz :

De nombreux autres sites proposaient de « gagner le plus possible » en négociant des actions du Kazakhstan, de la Russie, de la Chine et d'autres pays :

Les résidents de la Russie et du Kirghizistan ont fait face à des sites similaires, promettant des gains sur le commerce du pétrole et du gaz :

Un site proposait aux utilisateurs roumains de rejoindre le projet de gazoduc BRUA avec un gain de 3 000 lei par semaine en tant que revenus passifs :

Les sites web promettant une aide gouvernementale sous la forme de prestations, de paiements sociaux, etc. restent actifs. Par exemple, les attaquants ont tenté d'attirer les utilisateurs russes vers un autre faux portail Gosuslugi. Sur l'un de ces sites, il a été proposé d'indiquer des données personnelles prétendument pour la participation au programme de paiement d'une société pétrolière et gazière, ainsi que pour recevoir des primes du gouvernement :

Un autre site frauduleux promettait d'aider chaque résident du Kazakhstan sous forme de paiements en espèces prétendument pour le compte d'une grande banque « pour éviter les problèmes et les catastrophes » :

Les faux sites web de services d'investissement, en particulier des établissements de crédit russes, ne perdent pas non plus de leur activité. Beaucoup d'entre eux imitent de véritables portails Web de banques afin de confondre autant que possible les victimes potentielles.

Exemples de faux sites Web de banques russes offrant un accès à des « services d'investissement »

En savoir plus sur les sites non recommandés par Dr.Web

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les menaces Android les plus courantes au premier trimestre 2025 étaient les Trojans publicitaires Android.HiddenAds et Android.MobiDash, ainsi que les logiciels malveillants contrefaits Android.FakeApp. Par rapport au quatrième trimestre de l'année dernière, leur activité a augmenté. De plus, les utilisateurs étaient plus susceptibles de rencontrer des chevaux de Troie bancaires Android.BankBot et Android.Banker. Les Trojans espions Android.SpyMax, servant à des attaques en augmentation en 2024, ont, au contraire, été moins souvent détectés sur les appareils protégés.

Les analystes de Doctor Web ont détecté de nouveau de nombreuses menaces sur Google Play. Dont des chevaux de Troie utilisés dans divers stratagèmes frauduleux, des programmes malveillants pour voler des crypto-monnaies, ainsi que des chevaux de Troie publicitaires.

Les événements les plus importants du 1er trimestre liés à la sécurité des appareils mobiles :

Augmentation de l'activité des Trojans publicitaires Android.HiddenAds et Android.MobiDash
Activité accrue des Trojans bancaires Android.BankBot et Android.Banker
Diminution du nombre d'attaques des Trojans espions Android.SpyMax
Détection de nouvelles menaces sur Google Play

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au 1er trimestre 2025, consultez notre Rapport.

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du 1er trimestre 2025

Thu, 27 Mar 2025 00:00:00 GMT

le 27 mars 2025

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires Android.HiddenAds se sont avérés les logiciels malveillants ciblant Android les plus courants au premier trimestre de 2025. Dans le même temps, par rapport au quatrième trimestre de l'année dernière, ils ont été détectés sur des appareils protégés plus de deux fois plus souvent. La deuxième place revient aux applications malveillantes Android.FakeApp, que les attaquants utilisent dans divers stratagèmes frauduleux ; leur activité a augmenté de près de 8%. Les troisièmes sont les chevaux de Troie publicitaires Android.MobiDash, le nombre de leurs détections a presque été multiplié par 5.

Une dynamique similaire a été observée parmi de nombreux chevaux de Troie bancaires. Ainsi, une augmentation du nombre d'attaques menées par les représentants des familles Android.BankBot et Android.Banker a été constatée : de 20,6% et 151,7% respectivement. Dans le même temps, la détection des Trojans Android.SpyMax, dont l'activité avait augmenté presque tout au long de 2024, a baissé de 41,9 % par rapport au trimestre précédent.

Pendant les 3 derniers mois, les spécialistes de Doctor Web ont détecté des dizaines de nouvelles menaces sur Google Play. Avec le nombre traditionnellement élevé de chevaux de Troie Android.FakeApp, notre Laboratoire a trouvé sur Google Play des programmes malveillants conçus pour voler des crypto-monnaies, ainsi que des Trojans affichant de la publicité intrusive.

Tendances principales du 1er trimestre

Activité accrue des chevaux de Troie publicitaires
Augmentation du nombre d'attaques des Trojans bancaires Android.BankBot et Android.Banker
Diminution de l'activité des Trojans espions Android.SpyMax
Beaucoup de nouvelles applications malveillantes ont été détectées sur Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: Trojans conçus pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web de casino en ligne.
Android.MobiDash.7859: Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.

Program.FakeMoney.11
Program.FakeMoney.14: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Leur fonctionnement est bien connu. Ces applis simulent l'accumulation de récompenses, qui doivent permettre d’obtenir un certain montant à atteindre pour récupérer le gain. Généralement, ces applis proposent une liste de systèmes de paiement et de banques populaires par lesquels il est prétendument possible de transformer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler le montant dit suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le code de tels programmes.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.

Tool.NPMod.1: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.Androlua.1.origin: Versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes en fonction des autorisations reçues.
Tool.SilentInstaller.14.origin: Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Il n'est pas malveillant, mais peut être utilisé pour protéger les programmes inoffensifs comme les chevaux de Troie.

Adware.ModAd.1: Certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.

Menaces sur Google Play

Au cours du 1er trimestre 2025, les analystes de Doctor Web ont détecté quelques dizaines d'applications malveillantes sur Google Play. Parmi elles, on voit diverses modifications des chevaux de Troie Android.HiddenAds.4213 et Android.HiddenAds.4215, qui masquent leur présence sur les appareils infectés et commencent à afficher des publicités par-dessus d'autres programmes et l'interface du système d'exploitation. Ces Trojans ont été dissimulés derrière des applications photo et vidéo avec divers effets, des éditeurs de photos, une collection d'images et un journal de santé féminine.

Trojans publicitaires Android.HiddenAds, cachés dans les programmes Time Shift Cam et Fusion Collage Editor

Nos spécialistes ont également détecté les logiciels malveillants Android.CoinSteal.202, Android.CoinSteal.203 et Android.CoinSteal.206, conçus pour voler des crypto-monnaies et distribués sous le couvert de logiciels officiels des plateformes blockchain Raydium et Aerodrome Finance, ainsi que de la bourse de crypto-monnaies Dydx.

Programmes Raydium et Dydx Exchange — Chevaux de Troie conçus pour voler des crypto-monnaies

Lorsqu'elles sont lancées, les applications malveillantes proposent aux victimes potentielles de saisir une phrase mnémotechnique (seed phrase) apparemment pour se connecter à un portefeuille de crypto-monnaies, mais en fait les données saisies sont transmises aux attaquants. Pour finalement induire les utilisateurs en erreur, les formulaires de saisie de phrases mnémoniques peuvent être déguisés en demandes provenant d'autres plateformes cryptographiques. Comme le montre l'exemple ci-dessous, Android.CoinSteal.206 a démontré un formulaire de phishing prétendument au nom de la bourse cryptographique PancakeSwap.

Dans le même temps, des programmes de contrefaçon de la catégorie Android.FakeApp ont de nouveau été diffusés sur Google Play. Beaucoup d'entre eux ont été présentés par les fraudeurs comme des applications financières, y compris des tutoriels, des outils pour accéder à des services d'investissement et des programmes de comptabilité pour ses finances personnelles. Ces applis ont téléchargé divers sites d'hameçonnage, y compris ceux utilisés par les pirates pour collecter des données personnelles.

Exemples des programmes malveillants Android.FakeApp, distribués sous le couvert de logiciel financier : «Умные Деньги» — Android.FakeApp.1803, Economic Union — Android.FakeApp.1777

D'autres Trojans Android.FakeApp ont téléchargé des sites de bookmakers et de casinos en ligne sous certaines conditions. De telles variantes de logiciels malveillants ont été distribuées sous le couvert de toutes sortes de jeux et d'autres logiciels — par exemple, un simulateur de frappe clavier rapide et un manuel de dessin. Parmi eux figuraient de nouvelles modifications du cheval de Troie Android.FakeApp.1669.

Exemples de logiciels malveillants contrefaits qui, au lieu de la fonctionnalité promise, pourraient charger des sites Web de casinos en ligne et de bookmakerses

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web : rapport viral de l'année 2024

Thu, 30 Jan 2025 05:00:00 GMT

Le 30 janvier 2025

Chaque année, nos analystes étudient des millions de virus et malwares, nos ingénieurs accompagnent les entreprises subissant une attaque et recueillent des données venant du monde entier sur les techniques déployées par les cybercriminels.

Dans notre rapport annuel, nous rappelons les temps forts de la cybersécurité, les événements les plus marquants et/ou les plus intéressants techniquement, afin de dresser un « portrait cyber » de l’année écoulée. Quelles sont les méthodes les plus employées, existe-t-il de nouvelles techniques d’infection ou de fraude ayant marqué l’année, certaines régions du monde ont-elles été plus touchées que d’autres ? Descriptions et explications.

En 2024, les programmes malveillants créés à l'aide du langage de script AutoIt et distribués au sein d'autres logiciels malveillants pour les rendre difficiles à détecter figuraient parmi les menaces les plus courantes, comme en 2023. Une forte activité de chevaux de Troie publicitaires et divers scripts malveillants a été enregistrée. En ce qui concerne le trafic e-mail, ce sont des scripts malveillants qui ont été les plus souvent détectés. De plus, par le biais d'e-mails indésirables, toutes sortes de chevaux de Troie, de documents d'hameçonnage et d'exploits qui permettaient d'exécuter du code arbitraire ont été distribués.

Parmi les menaces mobiles, les chevaux de Troie, les logiciels espions et les logiciels publicitaires indésirables étaient les plus courants. Au cours de l'année, il y a eu une augmentation de l'activité des chevaux de Troie bancaires mobiles. Dans le même temps, notre laboratoire antivirus a trouvé des centaines de nouveaux programmes malveillants et indésirables dans le catalogue Google Play.

Les analystes d'Internet ont noté une forte activité des arnaqueurs réseau, dont l'arsenal a été reconstitué avec de nouveaux schémas de tromperie.

Par rapport à 2023, le nombre de demandes d'utilisateurs pour le décryptage de fichiers affectés par des chevaux de Troie encodeurs a diminué. Dans le même temps, nos spécialistes ont observé de nombreux événements liés à la sécurité informatique. Au cours de l'année, Doctor Web a enquêté sur plusieurs attaques ciblées. Une contamination de décodeurs TV fonctionnant sous le système d'exploitation Android a également été identifiée. Enfin, Doctor Web a repoussé une attaque sur sa propre infrastructure.

Les tendances principales de l'année

Activité élevée des chevaux de Troie créés à l'aide du langage de script AutoIt
Scripts malveillants parmi les menaces les plus courantes
De nouvelles attaques ciblées ont été enregistrées
Les attaquants sont devenus plus susceptibles d'exploiter la technologie eBPF pour dissimuler des activités malveillantes
Le nombre de requêtes pour le déchiffrement de fichiers touchés par des ransomwares à chiffrement a diminué
L'activité des fraudeurs en ligne est restée forte
Les chevaux de Troie bancaires mobiles sont devenus plus courants
De nombreuses nouvelles menaces ont été détectées sur Google Play

Les événements les plus intéressants de 2024

En janvier, les spécialistes de Doctor Web ont signalé la détection du Trojan miner Trojan.BtcMine.3767 caché dans des programmes piratés qui ont été distribués via un canal Telegram spécialement créé et un certain nombre de sites Internet. Le malware a infecté des dizaines de milliers d'ordinateurs Windows. Pour s'installer dans le système attaqué, le programme malveillant créé une tâche dans le planificateur pour sa propre exécution automatique et s'ajoute aux exclusions de l'antivirus Windows Defender. Puis, il implémente dans le processus explorer.exe (Explorateur Windows) un composant directement responsable de l'extraction de crypto-monnaie. Trojan.BtcMine.3767 a également permis d'effectuer un certain nombre d'autres actions malveillantes, par exemple, d'installer un rootkit sans fichier, de bloquer l'accès aux sites et d'interdire les mises à jour du système d'exploitation.

En mars, notre société a publié une étude sur une attaque ciblée contre une entreprise russe de construction de machines. L'enquête sur l'incident a révélé un vecteur d'infection en plusieurs étapes et l'utilisation par les attaquants de plusieurs applications malveillantes à la fois. La porte dérobée JS.BackDoor.60, via laquelle passait la principale interaction entre les attaquants et l'ordinateur infecté, était du plus grand intérêt. Ce cheval de Troie utilise son propre framework écrit en langage JavaScript et se compose d’un corps principal et de modules auxiliaires. Il permet de voler des fichiers sur des appareils infectés, de suivre les informations saisies sur le clavier, de créer des captures d'écran, de télécharger ses propres mises à jour et d'étendre ses fonctionnalités en téléchargeant de nouveaux modules.

Au mois de mai, les analystes de Doctor Web ont identifié le Trojan cliqueur Android.Click.414.origin dans l'application Love Spouse conçu pour la gestion de jouets pour adultes, ainsi que dans l'application QRunning pour le suivi de l'activité physique, tous deux distribués via le catalogue Google Play. Android.Click.414.origin a été déguisé en composant de collecte d'informations de débogage et a été implémenté dans plusieurs nouvelles versions de ces programmes. Plus tard, les développeurs de Love Spouse ont publié une version mise à jour qui ne contenait plus de cheval de Troie. Les auteurs du second programme n'ont pas réagi. Android.Click.414.origin avait une architecture modulaire et, à l'aide de ses composants, il était en mesure d'effectuer diverses actions malveillantes : collecter des données sur un appareil infecté, charger secrètement des pages Web, afficher des publicités, effectuer des clics et interagir avec le contenu des pages téléchargées.

En juillet, nous avons rapporté l'apparition de la version Linux du célèbre cheval de Troie d'accès à distance TgRat, qui est utilisé pour des attaques ciblées sur les ordinateurs. Une nouvelle version de l'application malveillante appelée Linux.BackDoor.TgRat.2 a été identifiée lors d'une enquête sur un incident de sécurité pour lequel nous a contacté un hébergeur. Dr.Web a détecté un fichier suspect sur le serveur d'un client, ce fichier s'est avéré être un compte-gouttes d'une porte dérobée, qui a installé le cheval de Troie. Les attaquants géraient Linux.BackDoor.TgRat.2 via un groupe Telegram fermé à l'aide d'un bot Telegram connecté à celui-ci. À l'aide du messager, ils pouvaient télécharger des fichiers à partir d'un système compromis, prendre des captures d'écran, exécuter des commandes à distance ou télécharger des fichiers sur un ordinateur à l'aide de pièces jointes de chat.

Début septembre, le site Web de Doctor Web a publié un article sur une attaque ciblée ratée contre une grande entreprise russe du secteur du transport ferroviaire de marchandises. Quelques mois plus tôt, les employés du service de sécurité de cette entreprise ont enregistré un e-mail suspect avec un fichier qui y était joint. Son étude par nos analystes a montré qu'il s'agissait d'un raccourci Windows déguisé en document PDF avec spécification de paramètres de lancement de l'interpréteur de commande PowerShell. L'ouverture de ce raccourci était censée conduire à une infection en plusieurs étapes du système cible par plusieurs programmes malveillants conçus à des fins de cyber espionnage. L'un d'eux était Trojan.Siggen27.11306 qui a exploité la vulnérabilité CVE-2024-6473 du navigateur Yandex pour intercepter l'ordre de recherche DLL (DLL Search Order Hijacking). Le cheval de Troie a placé une bibliothèque dll malveillante dans le répertoire d'installation du navigateur avec le nom du composant système Wldp.dll qui est responsable de la sécurité du lancement des applications. Étant donné que le fichier malveillant se trouvait dans le dossier de l'application, au démarrage de l'appli, la bibliothèque de chevaux de Troie obtenait, en raison de la vulnérabilité du navigateur, une priorité plus élevée, et était ainsi chargée en premier. La bibliothèque recevait également toutes les autorisations du navigateur lui-même. Cette vulnérabilité a été corrigée par la suite.

Un peu plus tard, nos experts ont rapporté une autre attaque sur les décodeurs TV basés sur le système d'exploitation Android. La campagne impliquait le programme malveillant Android.Vo1d, qui a infecté près de 1 300 000 appareils dans 197 pays. Il s'agit d'une porte dérobée modulaire qui place ses composants dans la zone système et qui, sur commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.

De plus, une attaque ciblée sur les ressources de notre société a été enregistrée en septembre. Les spécialistes de Doctor Web ont rapidement mis fin à cette tentative d'endommager l'infrastructure en repoussant avec succès l'attaque. Aucun de nos utilisateurs n'a été touché.

En octobre 2024, les analystes de Doctor Web ont signalé la découverte d'un certain nombre de nouveaux programmes malveillants ciblant le système d'exploitation Linux. Ils ont été identifiés grâce à l'examen d’attaques sur des appareils ayant le système de gestion de base de données Redis installé. Ce système attire de plus en plus l’attention des cybercriminels qui y exploitent diverses vulnérabilités. Parmi les menaces détectées figuraient des portes dérobées, des compte-gouttes et une nouvelle modification d'un rootkit qui installait le miner de cheval de Troie Skidmap sur des appareils compromis. Ce miner est actif depuis 2019 et il cible principalement des ressources d'entreprise — de grands serveurs et des environnements cloud.

Le même mois, notre laboratoire a révélé une campagne à grande échelle visant à distribuer des programmes malveillants pour l'extraction et le vol de crypto-monnaie. Les attaquants ont affecté plus de 28 000 utilisateurs, dont la plupart en Russie. Les chevaux de Troie ont été dissimulés dans des logiciels piratés, pour la distribution desquels des sites frauduleux créés sur la plateforme GitHub ont été utilisés. De plus, les pirates ont placé des liens de téléchargement des applications malveillantes sous des vidéos publiées sur la plateforme YouTube.

En novembre, nos experts ont identifié un certain nombre de nouvelles variantes du Trojan Android.FakeApp.1669, dont la tâche est de charger des sites Web. Contrairement à la plupart des autres programmes malveillants similaires, Android.FakeApp.1669 reçoit les adresses des sites cibles à partir de l'enregistrement TXT des serveurs DNS malveillants, pour ce faire, il utilise du code modifié de la bibliothèque dnsjava open source. Dans le même temps, le Trojan ne se manifeste que lors de la connexion à Internet via certains fournisseurs. Dans d'autres cas, il fonctionne comme un logiciel inoffensif.

Fin 2024, dans le cadre d'une enquête sur demande de l'un de nos clients, les experts de Doctor Web ont identifié une campagne de piratage active visant principalement les utilisateurs d'Asie du Sud-Est. Au cours des attaques, les cybercriminels utilisaient un certain nombre d'applications malveillantes, ainsi que des méthodes et des techniques qui gagnent en popularité parmi les cybercriminels. L'un de ces méthodes consiste à utiliser la technologie eBPF (Extended Berkeley Packet Filter), créée pour le contrôle avancé du sous-système réseau du système d'exploitation Linux et du fonctionnement des processus. Cette technologie a été utilisée par les attaquants pour masquer l'activité réseau et les processus, collecter des informations sensibles et contourner les pare-feu et les systèmes de détection d'intrusion. Une autre méthode consistait à stocker les paramètres des chevaux de Troie non pas sur le serveur de contrôle, mais sur des plateformes publiques telles que GitHub et des blogs. La troisième caractéristique des attaques était l'utilisation de framework post-exploitation en parallèle avec des applications malveillantes. Bien que ces outils ne soient pas malveillants et qu'ils soient utilisés dans le cadre d'audits de sécurité des systèmes numériques, leurs fonctionnalités et leurs bases de données de vulnérabilités peuvent élargir les possibilités des attaquants.

Situation virale

Selon les statistiques de détection de l'antivirus Dr.Web, en 2024, le nombre total de menaces détectées a augmenté de 26,2 % par rapport à 2023. Le nombre de menaces uniques a également augmenté de 51,2 %. Parmi les programmes malveillants les plus courants figuraient des chevaux de Troie créés dans le langage de script AutoIt, qui sont distribués dans le cadre d'autres logiciels malveillants pour les rendre difficiles à détecter. De plus, les utilisateurs ont rencontré divers scripts malveillants et chevaux de Troie publicitaires.

JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1222: Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
Trojan.StartPage1.62722: Programme malveillant qui remplace la page d'accueil dans les paramètres du navigateur.
Trojan.BPlug.3814: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
VBS.KeySender.6: Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
BAT.AVKill.37: Composant du cheval de Troie Trojan.AutoIt.289. Ce script lance d'autres composants de logiciels malveillants, les installe dans l'auto-démarrage via le Planificateur de tâches Windows et les ajoute aux exclusions de l'antivirus Windows Defender.
Trojan.Unsecure.7: Cheval de Troie qui bloque le lancement d'antivirus et d'autres logiciels via les stratégies AppLocker dans Windows.

Parmi les menaces propagées par e-mail, divers scripts malveillants et toutes sortes de chevaux de Troie, tels que des portes dérobées, des téléchargeurs et des compte-gouttes de logiciels malveillants, des chevaux de Troie avec des fonctionnalités de logiciels espions, des applications malveillantes pour l'extraction de crypto-monnaie. Les attaquants ont également envoyé des documents de phishing représentant souvent de faux formulaires d'autorisation sur des sites populaires. De plus, les utilisateurs ont rencontré des vers et des applications malveillantes qui exploitaient les vulnérabilités dans les documents Microsoft Office.

JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
LNK.Starter.56: Détection d'un raccourci spécialement formé qui est distribué via des lecteurs amovibles et qui a une icône de disque pour tromper les utilisateurs. Lors de son ouverture, des scripts VBS malveillants sont lancés depuis un répertoire caché situé sur le même support que le raccourci lui-même.
Win32.HLLW.Rendoc.3: Ver réseau qui est propagé entre autres via des supports amovibles.
Exploit.CVE-2018-0798.4: Exploit conçu pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permet l'exécution de code arbitraire.
Trojan.AutoIt.1122: Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
Trojan.SpyBot.699: Trojan bancaire à plusieurs modules. Il permet aux pirates de télécharger et de lancer sur une machine contaminée différentes applications et d'exécuter n'importe quel code.
VBS.BtcMine.13
VBS.BtcMine.12: Script malveillant écrit en VBS pour extraire des crypto-monnaies de manière discrète.

Rançongiciels

Par rapport à 2023, le support technique de Doctor Web a reçu 33,05% de demandes en moins d'utilisateurs affectés par des ransomwares à chiffrement en 2024. La dynamique d'enregistrement des demandes de décryptage de fichiers est présentée dans le schéma ci-dessous :

Les ransomwares à chiffrement les plus répandus en 2024 :

Trojan.Encoder.35534 (13,13% des demandes): Rançongiciel connu sous le nom de Mimic. Lors de la recherche de fichiers cibles pour le cryptage, le cheval de Troie utilise la bibliothèque everything.dll du programme Everything, qui est légitime et conçue pour rechercher instantanément des fichiers sur les ordinateurs Windows.
Trojan.Encoder.3953 (12,10% des demandes): Rançongiciel qui a plusieurs versions et modifications différentes. Pour le chiffrement des fichiers, il utilise l'algorithme AES en mode CBC.
Trojan.Encoder.26996 (7,44% des demandes): Ransomware à chiffrement connu sous le nom de STOP Ransomware. Il tente d'obtenir la clé privée du serveur distant, et en cas d'échec, il utilise une clé embarquée. Pour chiffrer les fichiers, le cheval de Troie utilise l'algorithme de flux Salsa20.
Trojan.Encoder.35067 (2,21% des demandes): Un ransomware à chiffrement connu sous le nom de Macop (l'une des variantes de ce cheval de Troie est Trojan.Encoder.30572). Il est de petite taille, environ 30-40 Ko. Cela est dû en partie au fait que le cheval de Troie ne comporte pas de bibliothèques cryptographiques tierces et n'utilise que des fonctions CryptoAPI pour le cryptage et la génération de clés. Il utilise l'algorithme AES-256 pour crypter les fichiers, et les clés elles-mêmes sont cryptées avec RSA-1024.
Trojan.Encoder.37369 (2,10% des demandes): L'une des nombreuses modifications du rançongiciel #Cylance ransomware. Pour chiffrer les fichiers, il utilise l'algorithme ChaCha12 avec un schéma d'échange de clés basé sur la courbe elliptique Curve25519 (X25519).

Fraudes sur le Web

Au cours de 2024, les analystes de Doctor Web ont observé une forte activité des fraudeurs en ligne, utilisant à la fois des scénarios traditionnels et de nouvelles méthodes pour tromper les utilisateurs. Dans le segment russe d'Internet, les stratagèmes utilisant des sites frauduleux de plusieurs formats sont à nouveau les plus répandus. Certains d'entre eux étaient de fausses ressources de magasins en ligne et de réseaux sociaux avec des promotions et des promesses de cadeaux. Les victimes potentielles sur de tels sites « gagnent » toujours, mais pour recevoir un prix finalement inexistant, elles sont tenues de payer une « commission ».

Un site Web frauduleux prétendument lié à une boutique en ligne russe invite ses visiteurs à participer à un tirage au sort inexistant

Un faux site d'un réseau social offre de « tenter votre chance » et de gagner de gros prix en argent et d'autres cadeaux

L'une des variantes actuelles de ce type de stratagème reste les faux sites web de détaillants et de magasins d'appareils électroménagers et électroniques proposant d'acheter des marchandises à prix réduit. Habituellement, il est proposé d'utiliser une banque en ligne ou une carte bancaire pour payer les « commandes », mais l'année dernière, les escrocs ont commencé à recourir au système de paiement rapide.

Un faux site Web d'un magasin d'électroménager et d'électronique promet aux victimes potentielles de grandes réductions

Le site frauduleux propose d'utiliser le système de paiement rapide pour régler la « commande »

Le système avec des billets de loterie « gratuits » a également gardé sa popularité. Les prétendus tirages au sort en ligne pour les victimes potentielles se terminent toujours par une « victoire ». Pour recevoir le prix, les utilisateurs doivent également payer une « commission ».

L'utilisateur aurait gagné 314 906 roubles à la loterie et devra payer une « commission » pour « recevoir » les gains

Les faux sites financiers sont également restés dans l'arsenal des escrocs. Les sujets servant de fondement aux fraudes restent à peu près les mêmes, ce sont généralement la promesse de recevoir des remboursements de l'État ou d'entreprises privées, les investissements dans le secteur pétrolier et gazier, la formation dans le domaine de la finance, le commerce de crypto-monnaie et des activités menées grâce à des systèmes automatisés « uniques » ou de stratégies « éprouvées » qui garantiraient prétendument des profits. Les attaquants ont également exploité les noms de personnes médiatiques pour attirer l'attention des utilisateurs. Des exemples de tels sites frauduleux sont présentés ci-dessous.

Un site frauduleux propose au visiteur « de gagner jusqu'à 10 000 € par mois sur la plateforme WhatsApp unique »

L'artiste russe Shaman « a partagé une plateforme secrète de succès », qui pourrait rapporter 14 000 $ par mois

Un faux site Web d'une société pétrolière et gazière offre l'accès à un service d'investissement et promet des revenus de 150 000 roubles

Des sites Web frauduleux imitant les services d'investissement réels des banques

Dans le même temps, nos spécialistes ont également identifié de nouveaux schémas. Par exemple, des fraudeurs, prétendument au nom de grandes entreprises, proposent aux utilisateurs de participer à des enquêtes sur la qualité des services fournis contre rémunération. Parmi ces faux, des sites Web fictifs d'établissements de crédit, où les utilisateurs se voyaient invités à fournir des données personnelles sensibles, qui pouvaient inclure un nom complet, un numéro de téléphone portable lié à un compte bancaire et un numéro de carte bancaire.

Un faux site web de banque propose une récompense de 6 000 rands pour participer à une enquête visant à « améliorer la qualité du service »

Ces schémas de fraude sont assez répandus partout dans le monde, notamment en Europe. Par exemple, le site ci-dessous promettait aux utilisateurs européens des dividendes pour investir dans des secteurs prometteurs de l'économie :

Et ce site annonçait une « nouvelle plateforme d'investissement de Google », à l'aide de laquelle il serait possible de gagner à partir de 1 000 € :

Un autre site frauduleux offre aux utilisateurs slovaques « de gagner plus de 192 460 $ par mois » avec l'aide d'un service d'investissement :

Les résidents de l'Azerbaïdjan également ciblés se sont vus offrir d’améliorer considérablement leur situation financière, en gagnant 1 000 manats par mois. Il s’agissait de simplement répondre une petite enquête et d'avoir accès à un service prétendument lié à la compagnie pétrolière et gazière azerbaïdjanaise :

À la fin de l'année, les fraudeurs ont traditionnellement commencé à adapter ces faux sites au sujet des fêtes de fin d'année. Par exemple, la fausse bourse de crypto-monnaie en ligne suivante promettait aux utilisateurs russes des paiements pour le Nouvel An :

Un autre site leur offrait des chèques vacances pour le compte d'une société d'investissement :

Un site frauduleux promet aux utilisateurs kazakhs de gros paiements en l'honneur du Jour de l'Indépendance dans le cadre de « l'offre du Nouvel An ».

Tout au long de l'année, nos analystes Internet ont identifié d'autres sites d'hameçonnage. Parmi eux se trouvaient de faux sites Web de services de formation en ligne. L'un d'eux, par exemple, imitait l'apparence d'une véritable ressource Internet et proposait des cours de programmation. Pour « obtenir des conseils », les utilisateurs devaient fournir leurs données personnelles.

Un faux site web déguisé en véritable ressource en ligne d'un service éducatif

De plus, les tentatives de vol de comptes Telegram à l'aide de sites d'hameçonnage déguisés en divers sites de votes en ligne ont été encore cette année, très courantes. On demande aux victimes potentielles un numéro de téléphone portable — soi-disant utilisé pour confirmer leur voix et obtenir un code à usage unique. Mais en saisissant ce code sur un faux site, les utilisateurs permettent aux fraudeurs d'accéder à leurs comptes.

Site d'hameçonnage pour « voter » dans un concours de dessin en ligne pour enfants

D'autres sites similaires proposaient un abonnement « gratuit » à Telegram Premium. Les utilisateurs sont invités à se connecter à leur compte, mais les données confidentielles saisies sur ces sites sont transférées à des attaquants, qui volent ensuite les comptes. Il est à noter que les liens vers ces ressources Internet sont distribués via le messager lui-même. Dans le même temps, l'adresse réelle du site cible dans les messages ne correspond souvent pas à ce que les utilisateurs voient.

Un message d'hameçonnage dans Telegram, dans lequel vous êtes invité à cliquer sur le lien indiqué pour « activer » un abonnement à Telegram Premium. Le texte du lien ne correspond pas réellement à l'adresse de destination

Site d'hameçonnage chargé lorsque vous cliquez sur le lien à partir d'un message frauduleux

Après avoir cliqué sur le bouton de la page précédente, le site affiche un formulaire d'autorisation qui ressemble à un véritable formulaire d'autorisation Telegram

Les cybercriminels utilisent également le spam par e-mail pour distribuer des liens vers des sites web frauduleux. Tout au long de l'année, nos analystes ont enregistré de nombreuses campagnes de spam différentes. L’exemple ci-dessous illustre une campagne déployée au Japon.

Message de phishing envoyé au nom d’une banque et invitant les utilisateurs à prendre connaissance des détails d'un paiement

Dans un autre scénario, les attaquants envoient de fausses notifications concernant les dépenses mensuelles des utilisateurs par carte bancaire. Les liens vers les sites d'hameçonnage étaient souvent masqués et semblaient inoffensifs dans le texte des e-mails.

Le message de phishing affiche des liens vers des adresses réelles de sites web de banques, mais lorsque les utilisateurs cliquent, ils sont redirigés vers un site frauduleux

L'une des campagnes de spam ciblait les utilisateurs européens. Par exemple, les utilisateurs belges ont été confrontés à des e-mails d'hameçonnage déclarant « bloquer » leurs comptes bancaires. Pour les « débloquer », on leur proposait de suivre un lien qui menait au site des fraudeurs.

Un e-mail indésirable effraie une victime potentielle en mentionnant un compte bancaire « bloqué »

D'autres envois massifs de messages indésirables ont également été enregistrés ciblant notamment un public anglophone. Dans l'une des campagnes de spam, les victimes potentielles recevaient des messages dans lesquels on leur demandait de confirmer la réception d'un transfert d'argent important.

Ce message spam informe que l'utilisateur aurait besoin de confirmer la réception de 1218,16 $ US

Les utilisateurs russes ont le plus souvent rencontré des courriels indésirables utilisant des thèmes maintenant bien connus comme le gain de prix et les réductions dans les magasins en ligne, les billets de loterie gratuits ou l'accès à des services d'investissement. Exemples de ces messages dans les captures d'écran ci-dessous.

Un message envoyé au nom d'une boutique en ligne proposant de participer à un « tirage au sort »

Un message au nom d'un établissement de crédit proposant de « devenir un investisseur prospère »

Un e-mail prétendument envoyé au nom d'un magasin d'électronique proposant d'activer un code promotionnel et d'obtenir une réduction sur les produits

Сiblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les malwares Android le plus courant en 2024 étaient à nouveau les Trojans Android.HiddenAds, qui masquent leur présence sur les appareils infectés et diffusent des publicités. Ils ont représenté plus d'un tiers des détections de logiciels malveillants. Parmi les représentants les plus actifs de cette famille on a vu Android.HiddenAds.3956, Android.HiddenAds.3851, Android.HiddenAds.655.origin et Android.HiddenAds.3994. Dans le même temps, les utilisateurs ont rencontré des variantes des Trojans Android.HiddenAds.Aegis, qui peuvent démarrer automatiquement après l'installation. Les autres applications malveillantes courantes étaient les Trojans Android.FakeApp et les chevaux de Troie espions utilisés dans divers stratagèmes frauduleux Android.Spy.

Les programmes indésirables les plus actifs étaient les représentants des familles Program.FakeMoney, Program.CloudInject et Program.FakeAntiVirus. Les premiers proposent d'effectuer diverses tâches pour des récompenses virtuelles, qui à l'avenir pourraient être retirées sous forme d'argent réel. Les seconds sont des programmes modifiés via un service cloud spécialisé et auxquels sont ajoutés un code incontrôlé et un certain nombre d'autorisations dangereuses. D'autres encore imitent le fonctionnement des antivirus, détectent des menaces inexistantes et proposent d'acheter une version complète pour résoudre les « problèmes ».

Les utilitaires Tool.SilentInstaller, qui permettent d'exécuter des applications Android sans les installer, sont à nouveau devenus les programmes potentiellement dangereux les plus fréquemment détectés, représentant plus d'un tiers des cas de détection de ce type de programmes. Les applications modifiées à l'aide de l'utilitaire NP Manager (détecté comme Tool.NPMod) étaient également fréquentes. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification. Des applications protégées par Tool.Packer.1.origin ont été fréquemment détectées, ainsi que le framework Tool.Androlua.1.origin, qui permet de modifier les programmes Android installés et d'exécuter des scripts Lua potentiellement malveillants.

Le logiciel publicitaire le plus courant appartient à la nouvelle famille Adware.ModAd, représentant près de la moitié des détections. Il s'agit de versions spécialement modifiées de WhatsApp Messenger, dont les fonctions incluent du code pour télécharger des liens publicitaires. En deuxième position, on a vu des représentants de la famille Adware.Adpush, et en troisième — une autre nouvelle famille Adware.Basement.

Par rapport à 2023, il y a eu une légère augmentation de l'activité des chevaux de Troie bancaires ciblant Android en 2024. Dans le même temps, nos experts ont noté la popularité croissante d'un certain nombre de techniques utilisées par les cybercriminels pour protéger les logiciels malveillants (en particulier les bancaires) de l'analyse et de la détection. Parmi ces techniques figuraient diverses manipulations du format d’archives zip (qui sont à la base des fichiers APK) et le fichier de configuration des programmes Android AndroidManifest.xml.

Il convient de noter une large propagation de l'application malveillante Android.SpyMax. Les attaquants ont activement utilisé ce logiciel espion comme cheval de Troie bancaire, en particulier contre les utilisateurs russes (46,23 % des cas de détection), ainsi que contre les propriétaires d'appareils Android au Brésil (35,46 % des cas) et en Turquie (5,80 % des cas).

Tout au long de l'année, les analystes de Doctor Web ont identifié plus de 200 menaces différentes dans le catalogue Google Play. Parmi elles, des chevaux de Troie qui abonnent à des services payants, des Trojans espions, des logiciels frauduleux et publicitaires. Au total, ils ont été téléchargés au moins 26 700 000 fois. De plus, nos spécialistes ont enregistré une autre attaque sur les décodeurs TV Android : la porte dérobée modulaire Android.Vo1d a contaminé près de 1 300 000 appareils d'utilisateurs de 197 pays. Ce Trojan place ses composants dans la zone système et, sur commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles en 2024, consultez notre rapport.

Perspectives et tendances

Les événements de l'année écoulée ont une fois de plus démontré la diversité du paysage des cybermenaces modernes. Les attaquants s'intéressent à la fois aux entreprises dans les secteurs privé et public et aux utilisateurs ordinaires. Les fonctionnalités de nombreux programmes malveillants impliqués dans les attaques ciblées que nous avons analysées indiquent que les cybercriminels sont constamment à la recherche de nouvelles opportunités pour améliorer leurs méthodes de conduite de campagnes malveillantes et développer leurs outils. Au fil du temps, de nouvelles techniques sont inévitablement transférées à des menaces plus répandues. À cet égard, en 2025, d'autres chevaux de Troie pourraient apparaître qui exploiteront la technologie eBPF pour masquer leurs activités malveillantes. De plus, nous devrions nous attendre à de nouvelles attaques ciblées, y compris avec l'utilisation d'exploits.

L'un des principaux objectifs des cybercriminels est l'enrichissement illégal, de sorte qu'au cours de la nouvelle année, l'activité des chevaux de Troie bancaires et publicitaires pourrait augmenter. De plus, les utilisateurs pourront être menacés par un plus grand nombre de logiciels malveillants dotés de fonctions d'espionnage.

Dans le même temps, les utilisateurs non seulement des ordinateurs Windows, mais aussi d'autres systèmes d'exploitation tels que Linux et macOS seront dans le collimateur. Les menaces mobiles continueront de se propager. Les propriétaires d'appareils Android doivent d'abord se méfier de l'émergence de nouveaux logiciels espions, de chevaux de Troie bancaires, ainsi que d'applications publicitaires malveillantes et indésirables. De nouvelles tentatives d'infection des téléviseurs, décodeurs et autres équipements basés sur Android ne sont pas exclues. Google Play reste encore et toujours malgré lui un diffuseur de malwares.

The Anti-virus Times

Infinite horizons

Rapport annuel 2024 sur les menaces mobiles

Thu, 30 Jan 2025 03:00:00 GMT

Le 30 janvier 2025

Comme chaque année, les menaces pesant sur les appareils mobiles sont nombreuses, des publicités intempestives ou malveillantes en passant par les Trojans bancaires, ransomwares, malwares « cliqueurs » et schémas frauduleux. En 2024, ces menaces ont été encore plus virulentes qu’en 2023, notamment les malwares bancaires.

Parmi les menaces les plus actives, on voit une recrudescence des applis qui intègrent des propositions de gagner des prix virtuels en effectuant quelques actions, prix supposés pouvoir être ensuite monétisés. Parmi les riskwares, on trouve des outils qui permettent de lancer des applis sans les installer, et parmi les adwares, on retrouve des versions fausses et malveillantes du messenger WhatsApp dont les fonctionnalités sont injectées via du code et qui permettent de charger des URL.

Google Play embarque encore malgré lui des applis vérolées, nos analystes en ayant détecté des centaines sur l’année 2024, avec environ 26,7 millions de téléchargements.

Au-delà des Smartphones tournant sous Android, les TV basées sur cet OS sont également les cibles des cybercriminels, tendance qui se confirme en 2024. Nos recherches mettent par exemple en lumière une backdoor infectant la zone de stockage du système et qui peut télécharger et installer des logiciels tiers, et qui a infecté plus d’un million de TV.

Globalement, les menaces ciblant Android se révèlent de plus en plus complexes à analyser et de plus en plus difficiles à détecter pour les antivirus. Les techniques employées par les pirates dans ce contexte incluent notamment diverses utilisations du format ZIP (les fichiers APK utilisés pour les applis Android sont basés sur le format ZIP), ainsi que des manipulations du fichier de configuration des apps AndroidManifest.xml. Ces méthodes ont été notamment souvent utilisées pour la création de Trojans bancaires.

PRINCIPAL TENDANCES DE 2024

Les malwares affichant des publicités non désirées sont les plus courants ;
Augmentation de l’activité des Trojans bancaires ;
Une utilisation et une manipulation accrue du format des APK et de leurs composants structurels pour éviter la détection par les antivirus et complexifier l’analyse des malwares ;
Augmentation de l’activité des rançongiciels de la catégorie Android.Locker et de celle des malwares « cliqueurs » Android.Click ;
Encore de nombreuses menaces sur Google Play.

Evénements les plus marquants en 2024

Dans cette section, nous mettons en lumière quelques-uns des malwares analysés par nos chercheurs afin d’illustrer les méthodes des cybercriminels et d’aider à la compréhension des mécanismes des malwares.

Fin mai 2024, nos chercheurs ont publié sur un Trojan « cliqueur », Android.Click.414.origin, trouvé dans une appli destinée à l’utilisation de sex toys ainsi que dans des applis de contrôle de son activité physique. Les deux programmes ont été postés sur Google Play et ont été installés par 1,5 millions d’utilisateurs. Le Trojan présent dans les apps possède une structure modulaire et peut exécuter certaines tâches. Par exemple, il charge de manière masquée des sites publicitaires et effectue des actions avec ces derniers comme du scrolling sur les pages des sites, entrer du texte dans des formulaires en ligne, couper l’audio des pages et prendre des captures d’écran de certaines pages afin de les étudier et de cliquer ensuite sur les zones souhaitées. De plus, le malware envoie des données sur les appareils qu’il infecte à un serveur de contrôle (C&C). enfin, le malware est programmé pour ne pas infecter les appareils des utilisateurs dont la langue installée est le chinois.

Versions des applis Love Spouse et QRunning programs embarquant Android.Click.414.origin trojan hidden in them

Au mois de septembre, nos chercheurs ont publié les résultats de leurs recherches sur la backdoor Android.Vo1d ciblant les décodeurs TV Android. Ce malware modulaire a touché environ 1,3 millions d’appareils dans 197 pays. Il plaçait ses composants dans la zone de stockage du système et pouvait télécharger et installer de manière masquée des logiciels tiers.

Pays les plus touchés par Android.Vo1d

Au mois de novembre 2024, nos analystes ont mis en lumière une technique de piratage utilisant le protocole DNS pour lier secrètement les Chevaux de Troie aux serveurs de contrôle. Android.FakeApp.1669 est un Trojan assez primitif dont la seule tâche est de charger des sites web. Mais la différence avec des malwares similaires est qu’il reçoit les adresses des sites qu’il doit charger depuis l’enregistrement TXT d’un serveur DNS malveillant. Pour ce faire, il utilise le code modifié d’une bibliothèque dnsjava open source. Autre particularité, il ne se révèle malveillant que lorsqu’il se connecte à Internet via certains fournisseurs.

Exemple de l’enregistrement TXT d’un domaine cible. Il est envoyé par le serveur DNS via la commande Linux “dig” alors que l'une des modifications d’Android.FakeApp.1669 est en cours d'analyse

Statistiques

D’après les statistiques recueillies par Dr.Web Security Space pour les appareils mobiles en 2024, 74,6% des menaces recensées sont des malwares (virus), viennent ensuite les Adwares (programmes « poussant » des publicités non désirées) représentant presque 11% des détections. En troisième position viennent les Risqwares avec 10,5% des détections et enfin, ce que nous nommons les « applications indésirables », c’est-à-dire que l’utilisateur n’a pas souhaité télécharger mais qui se chargent sur les appareils, arrivent en troisième position et représentent environ 4% des détections.

Programmes malveillants

Cette année encore, les programmes malveillants les plus répandus appartiennent à la catégorie des Trojans affichant des publicités de la famille Android.HiddenAds. Ils représentent 32% des détections.

Dans cette famille de malwares, la catégorie la plus active est Android.HiddenAds.3956 (15% des détections de la famille). C’est l’une des nombreuses variantes des malwares Android.HiddenAds.1994 connus depuis plusieurs années. Cette version en particulier, Android.HiddenAds.3956, a émergé en 2023 parmi d’autres modifications. En 2024, de nouvelles variantes sont apparues, dont : Android.HiddenAds.3980, Android.HiddenAds.3989, Android.HiddenAds.3994, Android.HiddenAds.655.origin, Android.HiddenAds.657.origin.

2024 voir également l’apparition d’une sous-catégorie, représentée par les malwares Android.HiddenAds.Aegis. Leur particularité, entre autres, étant de s’exécuter automatiquement. Cette sous-catégorie donne elle-même naissance à des variantes, comme Android.HiddenAds.Aegis.1, Android.HiddenAds.Aegis.4.origin, Android.HiddenAds.Aegis.7.origin, et Android.HiddenAds.Aegis.1.origin.

Les malwares de la famille Android.FakeApp, sont toujours autant utilisés dans les schémas de fraude. En 2024, ils représentent 18.2% de toutes les détections, en nette augmentation par rapport à 2023. Ces types de malwares chargent des sites non désirés pour effectuer des attaques de phishing et des fraudes en ligne.

Android.Spy reste également encore cette année une famille de logiciels espions assez active mais en baisse par rapport à 2023.

En baisse également l’activités des malwares : Android.Packed et Android.MobiDash.

En hausse : Android.Locker, Android.Proxy et Android.Click.

Les dix types de malwares les plus détectés en 2024:

Android.FakeApp.1600: Charge un site web codé en dur dans ses paramètres. Cette catégorie charge en général des sites de casino en ligne.
Android.Spy.5106: Groupe de Trojans qui se présentent comme des versions modifiées de mods de messageries WhatsApp non officielles.
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: Apps qui affichent des publicités non désirées.
Android.Click.1751: Ce Trojan est intégré aux mods de messagerie WhatsApp tiers et camouflé en classes de bibliothèque Google. Lorsque l’application hôte est utilisée, Android.Click.1751 se connecte à un serveur de contrôle et reçois deux URL. L’une d’entre elles est destinée aux utilisateurs russophones, l’autre est sans spécification de langue. Le Trojan affiche ensuite une boîte de dialogue dont il a reçu le contenu du serveur distant. Lorsqu’un utilisateur clique sur le bouton de confirmation, le malware charge un lien dans le navigateur.
Android.HiddenAds.Aegis.1: Malware masqué sur l’appareil et qui affiche des publicités intrusives. Il possède un certain nombre de caractéristiques qui le distinguent des autres membres du groupe Android.HiddenAds. Il peut notamment fonctionner automatiquement après son installation et rester en fonctionnement en permanence.
Android.MobiDash.7815: Ce malware affiche également des publicités non désirées.

Logiciels indésirables

Dans cette catégorie, les logiciels les plus répandus sont les Program.FakeMoney.11 qui représentent la moitié des détections de cette catégorie. Ces types de logiciels proposent des gains d’argent qui n’arrivent jamais.

Les logiciels détectés par Dr.Web sous le nom Program.CloudInject.1 sont également bien présents en 2024 puisqu’ils représentent 19% des détections de cette catégorie.

Les logiciels qui sont de faux antivirus, référencés sous la nomenclature Dr.Web Program.FakeAntiVirus.1 ont été moins actifs l’année dernière. Leur technique est de signaler de fausses menaces et de pousser l’utilisateur à télécharger une version soi-disant complète du logiciel.

L’année dernière, les logiciels malveillants offrant des programmes de contrôle de son activité physique ont été assez actifs, notamment : Program.TrackView.1.origin, Program.SecretVideoRecorder.1.origin, Program.wSpy.3.origin, Program.SecretVideoRecorder.2.origin, Program.Reptilicus.8.origin, Program.wSpy.1.origin, et Program.MonitorMinor.11.

Les dix logiciels indésirables les plus détectés en 2024 :

Program.FakeMoney.11
Program.FakeMoney.7: Ces programmes promettent des gains d’argent aux utilisateurs qui sont sensés effectuer différentes actions et cumuler un certain montant avant de pouvoir toucher leur gain. Ces apps proposent des systèmes de paiement via lesquels les utilisateurs doivent pourvoir récupérer leurs gains.
Program.CloudInject.1: Apps modifiées grâce au service cloud CloudInject et l’utilitaire Android éponyme. Ces applis sont modifiées sur un serveur distant, ce qui implique que les utilisateurs (moddeurs) ne peuvent pas contrôler les modifs effectuées.
Program.FakeAntiVirus.1: Malwares imitant les antivirus. Ils alertent sur de fausses menaces pour pousser les utilisateurs à télécharger leur version complète.
Program.TrackView.1.origin: Ce logiciel permet de prendre le contrôle d’un appareil. Si ces types de programmes ne sont pas malveillants en soi, ils peuvent être utilisés à mauvais escient car ils accèdent à de nombreuses données sur l’appareil.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Ensemble de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.wSpy.3.origin: Ce logiciel espion est en capacité de lire les SMS et les conversations dans les chats les plus populaires, écouter l’environnement, géolocaliser l’appareil, consulter l’historique du navigateur, accéder aux contacts, aux photos et vidéos, prendre des captures d’écran et il possède également des fonctions de keylogger (enregistrement des frappes clavier).
Program.Reptilicus.8.origin: Contrôle des appareils à distance avec géolocalisation, collecte de SMS, interception des appels, enregistrement de l’environnement, prise de capture d’écran etc.
Program.Opensite.2.origin: Logiciel dont les fonctions sont de charger des sites web et d’afficher des publicités. Certains de ces malwares sont distribués via YouTube.

Riskware

En 2024, les utilitaires de la catégorie Tool.SilentInstaller ont été les plus actifs. Ils comptent pour plus d’un tiers dans toutes les applications de ce type détectées sur les appareils. Parmi les nombreuses variantes qui existent, les quatre suivantes ont été les plus rencontrées : Tool.SilentInstaller.17.origin (16.17%), Tool.SilentInstaller.14.origin (9.80%), Tool.SilentInstaller.7.origin (3.25%), et Tool.SilentInstaller.6.origin (2.99%).

Un autre type de riskware assez fréquemment rencontré sont les programmes modifiés à l’aide de l’utilitaire NP Manager. Cet outil embarque un module spécifique dans le logiciel ciblé qui permet d’outrepasser le processus de vérification par signature numérique. Dr.Web détecte ces types de programmes comme des variantes de la famille Tool.NPMod. Au sein de cette famille, la variante Tool.NPMod.1 va été de plus en plus active au cours de l’année, représentant finalement environ 16% des détections de riskwares. La variante Tool.NPMod.2 représente, quant à elle, environ 7% des détections.

Parmi les autres riskwares souvent rencontrés, on trouve les malwares protégés par les packers Tool.Packer.1.origin, ainsi que les frameworks permettant de modifier les apps Android et de lancer des scripts Lua potentiellement malveillants Tool.Androlua.1.origin.

Parmi les riskwares dont l’activité a baissé en 2024, citons la famille d’utilitaires Tool.LuckyPatcher (passant de 14% des détections à 8%), permettant la modification des programmes pour Android ainsi que le téléchargement de scripts à leur adjoindre. Egalement en baisse d’activité, l’utilitaire d’obfuscation Tool.Obfuscapk et le packer Tool.ApkProtector.

Les 10 riskwares les plus répandus d’après notre Lab en 2024 :

Tool.NPMod.1
Tool.NPMod.2: Applis Android modifiées à l’aide de l’utilitaire NP Manager. Un module spécifique est embarqué dans ces apps leur permettant d’outrepasser la vérification par signature numérique.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes de riskwares qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement d’exécution virtuel dans le contexte des applications dans lesquelles ils sont intégrés. Les fichiers APK lancés par ce biais peuvent donc agir comme s’ils faisaient partie intégrante des applis et obtenir les mêmes autorisations.
Tool.Packer.1.origin: Outil de packing destiné au départ à protéger les applis Android contre leur modifications et contre le reverse engineering. Inoffensif dans sa conception, cet outil peut représenter un risque s’il est utilisé pour protéger des malwares, des applis infectées.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Androlua.1.origin: Désigne un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.
Tool.Packer.3.origin: Désigne les apps Android dont le code est obfusqué par l’outil NP Manager.

Adware

La famille nommée Adware.ModAd dans la nomenclature Dr.Web arrive clairement en première place des détections d’adwares puisqu’elle représente 47,5% de l’ensemble des détections de ce type de malwares. La catégorie qui était en tête en 2023, Adware.Adpush, passe à la seconde place en 2024 (14% des détections et une chute de 21points). La troisième place est occupée par une nouvelle famille d’adwares, Adware.Basement.

A noter également avec une activité relativement importante mais en baisse, les familles Adware.Airpush (en décroissance passant de 8,5% des détections à 4%) ; Adware.Fictus (de 4,4% à 3,2%) ; Adware.Leadbolt (de 4,3% à 2,2%) et Adware.ShareInstall (de 5% à 1%). Les adwares affichant des publicités non désirées de la catégorie Adware.MagicPush enregistrent une baisse d’activité notable par rapport à 2023 où ils étaient en deuxième place.

Les 10 adwares les plus détectés en 2024 :

Adware.ModAd.1: Versions modifiées (mods) du messenger WhatsApp dont une partie du code assure le téléchargement de liens prédéfinis par les pirates lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des sites de bookmakers, des sites pour adultes.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.Fictus.1
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.Adpush.21846
Adware.AdPush.39.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Modules qui peuvent être embarqués dans les applis Android et afficher des publicités intempestives, via des formats différents de type « pub », pop-up ou bannière. Ces publicités sont souvent utilisées par les pirates pour diffuser des malwares, de plus, ces modules collectent des données.
Adware.ShareInstall.1.origin: Modules qui peuvent être embarqués dans les applis Android et qui affichent des notifications contenant des pubs sur l’écran de verrouillage des appareils Android.
Adware.Youmi.4: Adware qui ajoute des raccourcis publicitaires sur l’écran d’accueil des appareils Android.
Adware.Inmobi.1: Désigne certaines versions du SDK de l’adware Inmobi. Elles peuvent passer des appels et entrer des événements dans les calendriers Android.

Menaces sur Google Play

En 2024, ce sont environ 200 menaces combinant plus de 26 millions de téléchargements qui ont été repérées par nos analystes sur Google Play. Les deux grandes familles diffusant des applis vérolées sont toujours Android.Click.414.origin et Android.HiddenAds. Les malwares sont distribués via différentes techniques et masquées derrière différents éléments tels que QR codes, applis de collections d’images, programmes de modifications d’images et même une appli d’antivol. La plupart de ces menaces agissent de manière masquée et redent insupportable l’utilisation du téléphone par l’affichage intempestif de notifications et pubs.

Exemples des menaces trouvées sur Google Play en 2024. Android.HiddenAds.4013 masqué derrière “Cool Fix Photo Enhancer”, Android.HiddenAds.4034 derrière “Cool Darkness Wallpaper”, Android.HiddenAds.4025 derrière “QR Code Assistant”, et Android.HiddenAds.656.origin derrière “Warning Sound GBD”.

En 2024, comme c’était déjà la tendance en 2023, les malwares diffusés sont eux-mêmes protégés par des outils de packing assez puissants.

Exemple avec “Lie Detector Fun Prank” masquant Android.Packed.57156, et “Speaker Dust and Water Cleaner” masquant Android.Packed.57159 ; tous les deux protégés par des packers puissants.

Les malwares désormais bien connus de nos utilisateurs pour les mentionner dans de nombreux rapports viraux, la famille Android.FakeApp, restent présents en 2024 dans les schémas de fraude. La fonction principale de ces types de malwares est d’ouvrir une URL « désirée » par les pirates. Toutes ces « fausses apps », en réalité, des malwares masqués, le sont derrière de très nombreuses catégories d’applications légitimes.

Exemples de Trojans Android.FakeApp qui ouvrent des liens redirigeant vers des sites frauduleux : Android.FakeApp.1681 (masqué derrière l’appli “SenseStrategy”), Android.FakeApp.1708 (masqué derrière l’appli “QuntFinanzas”)

Ces malwares se cachent également derrière des jeux. Malgré le fait que les applis remplissent le cahier des charges de leurs fonctionnalités déclarées, les malwares déguisés chargent des sites de casinos en ligne et autres sites de jeux financiers.

Ici, Android.FakeApp.1622 (“3D Card Merge Game”) et Android.FakeApp.1630 (“Crazy Lucky Candy”)

Enfin, il faut également se méfier des applis de recherche d’emploi qui peuvent dissimuler ce type de malwares.

Ici : Android.FakeApp.1627 (Appli “Aimer”) et Android.FakeApp.1703 (appli “FreeEarn”)

Enfin, toujours des Trojans qui abonnent les utilisateurs à des services payants et qui sont eux aussi dissimulés derrière des applis, ici, InstaPhoto Editor embarquant Android.Subscription.22.

D'autres chevaux de Troie de ce type appartenaient aux familles Android.Joker et Android.Harly, qui ont une architecture modulaire. Les premiers peuvent télécharger des composants supplémentaires depuis Internet, andis que les seconds se distinguent par le fait qu'ils stockent généralement les modules dont ils ont besoin sous forme cryptée dans leurs sources de fichiers.

Exemples d’applis abonnant leurs victimes à des services payants. Android.Joker.2280 masqué derrière “My Horoscope”, et Android.Harly.87 derrière le jeu “BlockBuster”

Les programmes décrits comme “logiciels indésirables » décrivent des applis qui, dans leur majorité, offrent aux utilisateurs la possibilité de réaliser des gains moyennant certaines actions à effectuer avec l’appli. Ce sont les programmes référencés comme Program.FakeMoney.11 et Program.FakeMoney.14.

Certaines variantes de Program.FakeMoney.11 ont été diffusées derrière le jeu “Copper Boom”, et Program.FakeMoney.14 était déguisé derrière le jeu “Merge Party”

De nouveaux types de modules adwares ont été découverts en 2024, référencés sous la nomenclature Adware.StrawAd.

Exemples de jeux contenant des représentants du module Adware.StrawAd: “Crazy Sandwich Runner” (Adware.StrawAd.1), “Poppy Punch Playtime” (Adware.StrawAd.3), “Finger Heart Matching” (Adware.StrawAd.6), et “Toimon Battle Playground” (Adware.StrawAd.9)

La catégorie Adware.Basement a également été diffusée sur Google Play. Il est désormais bien montré que ces malwares partagent leur code de base avec les malwares de la famille Program.FakeMoney.11.

Exemples d’applis embarquant les logiciels indésirables Adware.Basement : “Lie Detector: Lie Prank Test”, “TapAlarm:Don't touch my phone”, et “Magic Voice Changer” embarquent Adware.Basement.1; et “Auto Clicker:Tap Auto” , Adware.Basement.2

Trojans bancaires

D’après les statistiques de Dr.Web Security Space pour les appareils mobiles, les trojans bancaires représentent un peu plus de 6% des détections totales en 2024, ce qui est un pourcentage plus élevé qu’en 2023. Leur activités malveillante varie pendant l’année 2024 et augmente en fin d’année avec un pic constaté en novembre.

En 2024, des familles de Trojans bancaires bien connus ont refait surface, comme par exemple, Coper, Hydra (Android.BankBot.1048.origin, Android.BankBot.563.origin), Ermac (Android.BankBot.1015.origin, Android.BankBot.15017), Alien (Android.BankBot.745.origin, Android.BankBot.1078.origin), Anubis (Android.BankBot.670.origin), Cerberus (Android.BankBot.11404), GodFather (Android.BankBot.GodFather.3, Android.BankBot.GodFather.14.origin), et Zanubis (Android.BankBot.Zanubis.7.origin).

A noter la diffusion assez massive du spyware Android.SpyMax qui possède également des fonctionnalités de malware bancaire. Cette catégorie embarquait, à l’origine, le Cheval de Troie multifonctionnel RAT SpyNote (RAT — Remote Administration Trojan or Remote Access Trojan). Après une fuite de code, de multiples variantes sont apparues, notamment CraxsRAT and G700 RAT. Ces types de malwares ont connu un pic d’activité dans la seconde moitié de 2023 et ne cessent d’être actifs depuis.

Ces malwares semblent actifs dans le monde entier, avec néanmoins un ciblage assez important des utilisateurs en Russie (46% des détections globales) ainsi qu’au Brésil (35%) et en Turquie (environ 6%).

Nos analystes mettent également en lumière en 2024 l’activité des Trojans MoqHao. De nombreux représentants de cette famille ont été très actifs en Asie du Sud-Est et dans les pays d’Asie Pacifique, notamment (Android.Banker.367.origin, Android.Banker.430.origin, Android.Banker.470.origin, Android.Banker.593.origin ; Android.BankBot.919.origin, Android.BankBot.14423, Android.Banker.5297), IOBot (Android.BankBot.IOBot.1.origin), et Wroba (Android.Banker.360.origin), sont surtout actifs en Corée du Sud et Android.BankBot.907.origin, Android.BankBot.1128.origin au Japon. En Chine, on trouve les malwares Android.Banker.480.origin. Au Vietnam, Android.BankBot.1111.origin. L’Indonésie, la Thaïlande, et Taïwan sont ciblés par Android.Banker.480.origin, Android.BankBot.1111.origin. TgToxic (Android.BankBot.TgToxic.1) et GoldDigger trojan (Android.BankBot.GoldDigger.3).

En Iran et Turquie : Android.Banker.709.origin, Android.Banker.5292, Android.Banker.777.origin, Android.BankBot.1106.origin, Tambir family (Android.BankBot.1104.origin, Android.BankBot.1099.origin, Android.BankBot.1117.origin).

En Inde : Android.Banker.797.origin, Android.Banker.817.origin et Android.Banker.5435. Ces malwares se présentent comme des apps de banques, Airtel Payments Bank, PM KISAN, et IndusInd Bank. Enfin, lesfausses applis bancaires (Android.Banker.719.origin, Android.Banker.5147, Android.Banker.5443) ont ciblé les utilisateurs indiens des banques like Axis bank, HDFC Bank, SBI, ICICI Bank, RBL bank, et Citi bank.

Au Brésil: PixPirate (Android.BankBot.1026.origin) est le plus actif.

En Europe : Anatsa (Android.BankBot.Anatsa.1.origin) et Copybara (Android.BankBot.15140 et Android.BankBot.1100.origin), notamment en Italie, UK et Espagne.

Comme nous l’avons vu plus haut, une des tendances de 2024 en matière de cybercriminalité est le focus sur les méthodes de protection des malwares contre la détection et l’analyse. Ces méthodes impliquent l’utilisation du format ZIP sur lequel les fichiers APK sont basés. Ainsi, plusieurs outils d’analyse statique utilisant des algorithmes standard pour travailler avec les archives ZIP ne fonctionnent pas avec ces malwares. De plus, de nombreuses versions d’Android prennent ces fichiers pour des fichiers sains, leur permettant d’être installés et exécutés sur les appareils.

Une technique assez courante consiste à manipuler la méthode de compression des champs et de la taille dans l’en-tête du fichier local à l’intérieur de l’APK. Les cybercriminels indiquent à dessein de mauvaises valeurs dans les champs taille compressées et taille décompressée ou écrivent une méthode de compression incorrecte ou inexistante dans le champ méthode de compression. Une autre option est d’indiquer une méthode qui n’implique pas de compression de l’archive. Les en-têtes des champs taille compressée et taille décompressée ne vont pas correspondre, alors qu’ils le devraient.

Une autre technique répandue consiste à utiliser des données incorrectes à propos du disque dans l’ECDR (End of Central Directory Record) et dans le CD (Central Directory, contenant des données à propos des paramètres des fichiers et des archives). Ces deux paramètres devraient correspondre pour une même archive. Cependant, les cybercriminels peuvent indiquer des valeurs différentes semblant indiquer qu’il n’y a pas une archive unique mais bien une « archive multiple ». Les pirates peuvent également cocher une case dans les en-têtes du fichier local de certains fichiers de l’archive, indiquant que ces fichiers sont chiffrés. En réalité, ils ne le sont pas, mais une telle archive sera mal analysée.

Outre la manipulation des fichiers APK, on constate également des méthodes consistant à modifier le fichier de configuration des applis Android AndroidManifest.xml. Par exemple, ils ajoutent des octets inutiles, b'\x00', à la structure des attributs du fichier, rendant sa lecture incorrecte.

Conclusion et perspectives

Depuis ses débuts, le système Android est une cible privilégiée des cybercriminels et des millions de malwares sont développés pour usurper les utilisateurs. Ce que l’on constate en 2024, c’est que les applis publicitaires occupent une place vraiment importante. Il ne s’agit pas là de virus « classiques », bien que certains malwares dits adwares soient en mesure de voler des données sur les téléphones, mais plutôt de systèmes extrêmement envahissants qui harcèlent les utilisateurs via leurs jeux ou autres applis favorites pour les inciter à participer à des jeux « financiers ». L’appât du gain est un moteur puissant du développement d’applis indésirables. Outre leur dangerosité à l’endroit des données personnelles, avérée dans de nombreux cas, ces applis, ou plutôt, tous ces malwares, spywares, adwares etc, masqués derrière des applications sites « légitimes », se révèlent insupportables à « gérer » et/ou à contenir sur un Smartphone. Elles créent un environnement mêlant exaspération et tentation tant les offres sont parfois alléchantes.

Les Trojans bancaires font un retour en 2024. Avec une recrudescence de nouveaux acteurs bancaires, notamment des banques (uniquement) en ligne, les « fausses » applis basées, en fait, sur l’usurpation d’identité, ont connu un regain l’année dernière.

La tendance forte qui pourrait continuer à se développer en 2025 est, comme nous l’avons vu en fin de rapport, l’attention des cybercriminels portée sur la « protection » de leurs malwares, les rendant de plus en plus difficiles à détecter, mais également à analyser correctement. Cette tendance constituera sans doute de plus en plus un enjeu majeur dans la recherche virale.

Nos analystes et développeurs mettent tout en œuvre pour protéger nos utilisateurs et leur garantissent un niveau élevé de sécurité.

Installez Dr.Web Security Space pour protéger votre espace numérique et mobile.

Indicateurs de compromission

Doctor Web : rapport viral du quatrième trimestre 2024

Thu, 26 Dec 2024 06:00:00 GMT

Le 26 décembre 2024

Selon les statistiques récoltées par Dr.Web Antivirus, le nombre total de menaces détectées lors du quatrième trimestre 2024 a diminué de 1,5 % par rapport au troisième trimestre. Dans le même temps, le nombre de menaces uniques a augmenté de 94,4%. Le plus souvent, des logiciels publicitaires et des chevaux de Troie publicitaires, des scripts malveillants, ainsi que des chevaux de Troie distribués au sein d'autres applications malveillantes et utilisés pour les rendre plus difficiles à détecter. Des scripts malveillants, des Trojans publicitaires et des Trojans miners ont été le plus souvent détectés dans le trafic e-mail. De plus, on a constaté une activité accrue de logiciels malveillants espions.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont le plus souvent rencontré les Trojan.Encoder.35534, Trojan.Encoder.35067 et Trojan.Encoder.26996.

Les menaces les plus courantes détectées sur les appareils Android appartenaient encore à la famille de Trojans publicitaires Android.HiddenAds. Dans le même temps, nos analystes ont détecté de nombreuses nouvelles menaces sur Google Play.

Tendances principales du quatrième trimestre

Les applications publicitaires et les chevaux de Troie publicitaires sont restés les leaders du nombre de détections
Le nombre de menaces uniques a augmenté par rapport au trimestre précédent
Augmentation de l'activité des Trojans espions dans le trafic e-mail
Propagation de nombreux Trojans via Google Play,

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du quatrième trimestre :

Adware.Downware.20091: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
VBS.KeySender.6: Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants :mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
Trojan.BPlug.4210: Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
Trojan.Starter.8242: Programme malveillant qui lance un cheval de Troie miner.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
LNK.Starter.56: Raccourci distribué via des lecteurs amovibles et qui possède une icône de disque pour tromper les utilisateurs. Lors de son ouverture, des scripts VBS malveillants sont lancés d'un répertoire caché situé sur le même support que le raccourci lui-même.
Win32.HLLW.Rendoc.3: Ver réseau qui est propagé entre autres via des supports amovibles.
Trojan.Fbng.123: Trojan espion, également connu sous le nom de Formbook. Il vole les mots de passe enregistrés dans les navigateurs, dans les clients de messagerie ou dans les messageries en ligne et d'autres logiciels, intercepte des données d'entrée dans les formulaires web, surveille les clics du clavier (via la fonction keylogger) et crée des captures d'écran. De plus, il est capable de charger et de lancer d'autres programmes, ainsi que d'exécuter diverses commandes des pirates en fonctionnant comme une porte dérobée.

Rançongiciels

Par rapport au troisième trimestre, le nombre de demandes pour le déchiffrement de fichiers touchés par les rançongiciels à diminué de 18,9%.

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandus au cours du quatrième trimestre :

Trojan.Encoder.35534 — 22% des demandes ;
Trojan.Encoder. 35067 — 3.9% des demandes
Trojan.Encoder.26996 — 3.3% des demandes
Trojan.Encoder.35209 — 3% des demandes
Trojan.Encoder.38200 — 3% des demandes

Fraude en ligne

Au quatrième trimestre 2024, un stratagème frauduleux a perduré par rapport au trimestre précédent, dans lequel les attaquants, sur des sites spécialement créés, offrent aux victimes potentielles de gagner de l'argent grâce à divers investissements. Pour « accéder » aux services d'investissement, les utilisateurs sont invités à s'inscrire, livrant ainsi des données personnelles aux fraudeurs. Plusieurs pays ont été touchés par ces fraudes.

Un site frauduleux prétendument lié à la Banque mondiale promet aux Européens des dividendes pour investir dans des secteurs prometteurs de l'économie

Le site frauduleux offre aux utilisateurs slovaques « de gagner plus de 192 460 $ par mois » à l'aide d'un service d'investissement

Les fraudeurs se font passer pour de grandes banques et des sociétés pétrolières et gazières et proposent aux utilisateurs d'Arménie et de Moldavie de « gagner de l'argent sur les actions »

Un faut site de la compagnie pétrolière et gazière azerbaïdjanaise, où les visiteurs se voient promettre des revenus de 1 000 manats par mois

Un site de la « nouvelle plateforme d'investissement de Google » propose de répondre à une enquête et d'accéder à un service qui permettrait de gagner à partir de 1 000 €

L'un des sites frauduleux promet aux utilisateurs russes un « revenu passif sûr » à partir de 150 000 roubles par mois

Les spécialistes de Doctor Web ont également noté que les fraudeurs ont exploité la période des fêtes pour attirer les internautes, faisant, en quelque sorte, leur « offre de fin d’année », comme une entreprise. Par exemple, sur l'une des fausses ressources Internet, les utilisateurs russes inscrits sur une liste pouvaient prétendument recevoir des paiements en espèces d’une bourse de cryptomonnaies Et pour vérifier la disponibilité d'un tel paiement, ils étaient tenus de répondre à une enquête et de fournir des données personnelles.

Un faux site de crypto-échange offre aux utilisateurs russes de recevoir des « paiements du Nouvel An »

Un autre site frauduleux a proposé une « offre du Nouvel An » sensée provenir d'une société pétrolière et gazière, dans laquelle les utilisateurs du Kazakhstan, en l'honneur de la fête de l'indépendance du pays, pouvaient recevoir de 200 000 à 1 000 000 de tenges par mois. Pour toucher ces sommes, les victimes potentielles devaient soumettre une « demande », indiquant leurs données personnelles sur le site web.

Un site frauduleux promet aux utilisateurs kazakhs de gros paiements en l'honneur du Jour de l'Indépendance dans le cadre de « l'offre du Nouvel An »

Dans le même temps, nos analystes ont enregistré l'apparition de faux sites de banques russes proposant aux internautes de les rémunérer pour leur participation à une enquête de satisfaction sur leur qualité de service. Avant de répondre aux questions, les utilisateurs sont invités à saisir des données personnelles, telles que leur nom, prénom, numéro de téléphone portable lié au compte bancaire, et numéro de carte bancaire.

Un exemple de site web de fausse banque qui copie la conception du vrai site d'un établissement de crédit et propose aux victimes potentielles de répondre à une enquête moyennant une rémunération

Pour « participer » à l'enquête, l'utilisateur doit remplir un formulaire

Des sites frauduleux proposant des formations en ligne — par exemple, une formation en programmation — ont également été identifiés. Les visiteurs intéressés sont invités à laisser leurs coordonnées pour accéder à un rendez-vous.

Un site internet proposant des cours de programmation en ligne. Pour « obtenir des conseils », les utilisateurs doivent fournir des données personnelles.

Les tentatives de vol de comptes Telegram sont une tendance forte ce trimestre. Des sites de phishing déguisés en sites de votes en ligne (par exemple, pour des « concours de dessins d'enfants ») ont été détectés. Pour « confirmer » leur vote, les utilisateurs doivent indiquer leur numéro de téléphone mobile sur lequel un code de vérification est envoyé. Mais en mettant ce code sur un faux site, ils permettent aux fraudeurs d'accéder à leurs comptes Telegram via le numéro de portable.

Un site frauduleux qui invite les visiteurs à voter dans un concours de dessin pour enfants

Le « système de comptage des voix » nécessite un numéro de téléphone mobile pour « confirmer sa voix » et recevoir un code à usage unique

Lors de la saisie du code reçu, les victimes permettent aux fraudeurs d'accéder à leurs comptes Telegram

En savoir plus sur les sites non recommandés par Dr.Web.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, ce trimestre montre encore une présence importante des Trojans Android.HiddenAds, et des applis malveillantes des catégories Android.FakeApp et Android.Siggen. Des applications malveillantes se cachent encore sur Google Play.

Les événements les plus importants du quatrième trimestre liés à la sécurité des appareils mobiles :

Forte activité des Trojans publicitaires Android.HiddenAds et des programmes malveillants Android.FakeApp,
Apparition de nouvelles applications malveillantes sur Google Play.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au quatrième trimestre 2024, consultez notre Rapport.

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du 4ème trimestre 2024

Thu, 26 Dec 2024 06:00:00 GMT

Le 26 décembre 2024

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les chevaux de Troie publicitaires Android.HiddenAds sont les logiciels malveillants les plus courants au quatrième trimestre 2024. Derrière eux, l’ensemble des applis malveillantes Android.FakeApp et en troisième position, les Trojans Android.Siggen embarquant diverses fonctionnalités malveillantes.

Les analystes de Doctor Web ont encore révélé ce trimestre de nombreuses menaces sur Google Play. Parmi elles, comme au trimestre précédent, de nombreux Trojans de la catégorie Android.FakeApp, ainsi que des programmes malveillants des familles Android.Subscription et Android.Joker, qui abonnent les utilisateurs à des services payants. Des Trojans publicitaires de l’ensemble Android.HiddenAds ont également été détectés. Un logiciel d'empaquetage sophistiqué a émergé parmi les applis compromises sur GP.

Tendances principales du quatrième trimestre

Activité élevée des chevaux de Troie publicitaires Android.HiddenAds et des programmes frauduleux Android.FakeApp
Propagation de nombreux programmes malveillants via Google Play

Selon les données obtenues par Dr.Web Security Space pour les appareils mobiles

Android.FakeApp.1600: Cheval de Troie qui télécharge un site web programmé dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site web de casino en ligne.
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: Trojans conçus pour afficher des publicités. Les représentants de la famille Android.HiddenAds sont souvent diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment l'icône de l'application dans le menu de l'écran d'accueil.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.Click.1751: Cheval de Troie intégré à des modifications WhatsApp et qui se fait passer pour une classe de bibliothèque Google. Lors de l'utilisation de l'application dans laquelle il est inséré, Android.Click.1751 envoie des requêtes à un des serveurs de contrôle. En réponse, le cheval de Troie reçoit deux liens, dont l'un est destiné aux utilisateurs russophones, et l'autre à tous les autres. Ensuite, il affiche une boîte de dialogue avec le contenu reçu du serveur et, après que l'utilisateur ait cliqué sur le bouton de confirmation, charge le lien correspondant dans le navigateur.

Program.FakeMoney.11: Applications qui déclarent permettre de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Généralement, elles proposent une liste de systèmes de paiement et de banques populaires via lesquels il est prétendument possible de transférer les récompenses. Mais même lorsque les utilisateurs parviennent à accumuler un montant suffisant pour le retrait, les paiements promis n'arrivent pas. Cette entrée de la base détecte également d'autres logiciels indésirables basés sur le même code.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en préconisant l’achat d’une version complète.
Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et prendre des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Ensemble de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.1: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Tool.SilentInstaller.14.origin: Plateforme potentiellement dangereuse qui permet aux applications de lancer des fichiers APK sans les installer. Cette plateforme crée un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Cet utilitaire n'est pas malveillant mais il peut être utilisé dans le but de protéger des Trojans.
Tool.Androlua.1.origin: Détection d'un certain nombre de versions potentiellement dangereuses d'un framework pour le développement de programmes Android utilisant le langage de programmation de script Lua. La logique principale des applications Lua se trouve dans les scripts correspondants, qui sont chiffrés et déchiffrés par l'interpréteur avant exécution. Souvent, ce framework demande par défaut l'accès à de nombreuses autorisations système pour fonctionner. En conséquence, les scripts Lua exécutés via celui-ci sont potentiellement capables d'effectuer diverses actions malveillantes conformément aux autorisations reçues.

Adware.ModAd.1: Versions modifiées (mods) du messenger WhatsApp dont une partie du code assure le téléchargement de liens prédéfinis par les pirates lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des sites de bookmakers, des sites pour adultes.
Adware.Basement.1: Applications qui affichent des publicités indésirables qui mènent souvent à des sites malveillants et frauduleux. Ils ont une base de code commune avec les programmes indésirables Program.FakeMoney.11.
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.AdPush.3.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Menaces sur Google Play

Au cours du quatrième trimestre 2024, les analystes de Doctor Web ont détecté plus de 60 applications malveillantes sur Google Play dont la majorité appartient à la catégorie Android.FakeApp. Certaines d'entre elles ont été distribuées sous le couvert de programmes financiers, de livres de référence et de tutoriels, ainsi que sous le couvert d'autres logiciels — journaux intimes, cahiers, etc. Leur tâche principale est de télécharger des sites frauduleux.

Les programmes QuntFinanzas et Trading News, qui, entre autres nombreux chevaux de Troie Android.FakeApp, ont téléchargé des sites frauduleux

D'autres Trojans Android.FakeApp ont été maquillés en jeux.

Bowl Water et Playful Petal Pursuit sont des exemples de jeux avec une fonctionnalité de cheval de Troie

Dans le même temps, nos spécialistes ont découvert de nouvelles variantes du cheval de Troie Android.FakeApp.1669, dissimulé sous diverses applications et pouvant également charger des sites de casino en ligne. Le Trojan Android.FakeApp.1669 est intéressant sur un point : il reçoit l'adresse du site cible à partir du fichier TXT du serveur DNS malveillant. Dans le même temps, il ne se manifeste que lors de la connexion à Internet via certains fournisseurs.

Exemples de nouvelles modifications du cheval de Troie Android.FakeApp.1669. Le programme WordCount a été présenté par des pirates comme un outil de traitement de texte et le programme Split it: Checks and Tips est prétendument destiné à aider les clients des cafés et des restaurants à payer leurs factures et à calculer leurs pourboires.

Parmi les menaces trouvées sur Google Play figuraient plusieurs nouveaux représentants de la famille de chevaux de Troie publicitaires Android.HiddenAds, qui cachent leur présence sur les appareils infectés.

L'éditeur de photo Cool Fix Photo Enhancer a masqué le cheval de Troie Android.HiddenAds.4013

Des chevaux de Troie protégés par un logiciel sophistiqué ont été détectés, par exemple, Android.Packed.57156, Android.Packed.57157 et Android.Packed.57159.

Les applications Lie Detector Fun Prank et Speaker Dust and Water Cleaner sont des chevaux de Troie protégés par un packer

Nos experts ont également détecté le programme malveillant Android.Subscription.22, conçu pour abonner les utilisateurs à des services payants.

Au lieu d'éditer des photos, l'appli InstaPhoto Editor abonnait des utilisateurs à un service payant

Dans le même temps, les pirates ont de nouveau distribué des Trojans Android.Joker, qui abonnent leurs victimes à des services payants.

Le messager SMS Smart Messages et un clavier tiers Cool Keyboard ont essayé d'abonner discrètement leurs victimes à un service payant

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Une vague de piratage met en lumière l’utilisation de la technologie eBPF dans le montage des attaques

Tue, 10 Dec 2024 01:00:00 GMT

Le 10 décembre 2024

L'étude d'un récent cyberincident a permis aux analystes de Doctor Web d'identifier une vague de piratage en cours qui met en lumière les nouvelles « tendances » dans la construction des attaques.

Dans le cadre de l’accompagnement d’un client qui soupçonnait une attaque sur ses infrastructures, nos analystes ont identifié un certain nombre de cas de contamination similaires, ce qui a permis de conclure qu'une campagne de piratage était en cours, principalement sur la région de l'Asie du Sud-Est. Au cours des attaques, les cybercriminels utilisent toute une gamme de logiciels malveillants qui sont utilisés à différentes étapes. Malheureusement, nous n'avons pas pu déterminer sans ambiguïté comment l'accès initial aux machines compromises a été obtenu. Cependant, nous avons pu reconstituer toute l'image de l'attaque. Le plus notable est l'utilisation par les attaquants de la technologie eBPF (extended Berkeley Packet Filter).

La technologie eBPF a été développée pour étendre le contrôle sur le sous-système de réseau Linux et le fonctionnement des processus. Elle a montré beaucoup de potentiel, ce qui a attiré l'attention des grandes entreprises informatiques dès son apparition. la Fondation eBPF a vu se joindre au développement de la techno des géants tels que Google, Huawei, Intel et Netflix. Cependant, les pirates s’y sont également intéressés.

En fournissant des capacités de bas niveau étendues, eBPF peut être utilisé par les attaquants pour masquer l'activité et les processus du réseau, collecter des informations sensibles et contourner les pare-feu et les systèmes de détection d'intrusion. La complexité de détection de tels logiciels malveillants permet de les utiliser dans le cadre d'attaques APT et de masquer l'activité des pirates informatiques pendant une longue période.

Ce sont ces capacités dont les attaquants ont décidé de profiter en téléchargeant deux rootkits à la fois sur la machine compromise. Le rootkit eBPF a été installé en premier, ce qui cachait le fait qu'un autre rootkit fonctionnait, fabriqué sous la forme d'un module noyau, et qui, à son tour, préparait le système pour l'installation d'un cheval de Troie d'accès à distance. Le cheval de Troie prend en charge un certain nombre de technologies de tunneling de trafic, ce qui lui permet de communiquer avec des intrus depuis des segments privés du réseau et de masquer la transmission de commandes.

L'utilisation de logiciels eBPF malveillants prend de l'ampleur depuis 2023. En témoigne l'émergence de plusieurs familles de logiciels malveillants basés sur cette technologie, dont Boopkit, BPFDoor et Symbiote. Et la détection régulière de vulnérabilités augmente les risques. Ainsi, à ce jour, 217 vulnérabilités eBPF sont connues, dont environ 100 datées de 2024.

Une autre caractéristique inhabituelle de l’attaque est une approche plutôt créative du stockage des paramètres des chevaux de Troie. Si des serveurs dédiés sont le plus souvent utilisés pour de tels besoins, on trouve de plus en plus de cas où la configuration des logiciels malveillants est stockée dans le domaine public sur des sites publics. Ainsi, le logiciel examiné se connectait aux plateformes Github et même à des pages d'un blog chinois. Cette fonctionnalité permet de moins attirer l'attention sur le trafic de la machine compromise — car elle interagit avec un nœud sécurisé du réseau — et de ne pas avoir à maintenir un accès à un serveur de contrôle comportant les paramètres. En général, l'idée d'utiliser des services accessibles au public comme infrastructure de gestion n'est pas nouvelle, et les pirates informatiques ont déjà utilisé Dropbox, Google Drive, OneDrive et même Discord à cette fin. Le blocage régional de ces services dans un certain nombre de pays, principalement en Chine, les rend moins attrayants en termes d'accessibilité, néanmoins, la plupart des fournisseurs conservent leur accès à Github, ce qui le rend malgré tout préférable aux yeux des pirates.

Paramètres stockés sur Gitlab et le blog de sécurité. Il est curieux que dans le deuxième cas, le pirate demande de l'aide pour déchiffrer le code tiers, qui sera ensuite envoyé au cheval de Troie comme argument de l'une des commandes

Une autre caractéristique de cette campagne est l'utilisation d'un cheval de Troie au sein d'un framework de post-exploitation, c'est-à-dire un progiciel utilisé à d'autres étapes de l'attaque après avoir eu accès à un ordinateur. En soi, de tels framework ne sont pas interdits — ils sont utilisés par des entreprises qui fournissent officiellement des services d'audit de sécurité. Les outils les plus populaires sont Cobalt Strike et Metasploit, qui permettent d'automatiser un grand nombre de contrôles et qui ont une base de données de vulnérabilités intégrée.

Un exemple de carte de réseau construite par Cobalt Strike (source : site Web du développeur)

Bien sûr, de telles fonctionnalités sont très appréciées par les pirates. En 2022, une version piratée du logiciel Cobalt Strike a été diffusée, entraînant une augmentation de son utilisation dans des attaques. Une grande partie de l'infrastructure de Cobalt Strike est située en Chine. Il convient de noter que le fabricant fait des efforts pour suivre les installations du framework, et les serveurs avec des versions piratées sont régulièrement bloqués par les organismes d'application de la loi. Par conséquent, il existe actuellement une tendance constante à la transition vers l'utilisation de frameworks open source qui prennent initialement en charge la possibilité d'étendre et de modifier l'activité du réseau entre le périphérique infecté et le serveur de gestion. Une telle stratégie est préférable, car elle permet de ne pas attirer davantage l'attention sur l'infrastructure des pirates.

Selon les résultats de l'enquête, toutes les menaces identifiées ont été ajoutées à nos bases de données de logiciels malveillants, de plus, des signes de programmes eBPF malveillants ont été ajoutés aux algorithmes heuristiques.

Plus d'info sur Trojan.Siggen28.58279

Indicateurs de compromission

Plus de 28 000 utilisateurs affectés par un cheval de Troie conçu pour le minage et le vol de cryptomonnaie.

Tue, 08 Oct 2024 00:00:00 GMT

le 8 octobre 2024

Les analystes de Doctor Web ont identifié une campagne à grande échelle de diffusion de logiciels malveillants pour le minage et le vol de cryptomonnaie, déguisés en logiciels de bureautique, en « tricheurs » (cheats) pour les jeux et en robots d'échange en ligne.

Au cours d'une analyse de routine de la télémétrie cloud reçue de nos utilisateurs, des spécialistes du laboratoire Doctor Web ont détecté l’activité suspecte d'un programme déguisé en composant Windows (StartMenuExperienceHost.exe, un processus légitime portant ce nom et responsable de la gestion du menu Démarrer). Ce programme communiquait avec le nœud de réseau distant et attendait une connexion externe afin de lancer immédiatement l'interpréteur de ligne de commande span class="string">cmd.exe.

Déguisé en composant système, l'utilitaire réseau Ncat est utilisé à des fins légitimes pour transférer des données sur le réseau via la ligne de commande. C'est cette découverte qui a permis de restaurer la séquence des événements de sécurité, parmi lesquels des tentatives d'infection des ordinateurs par des logiciels malveillants empêchés par l'antivirus Dr.Web.

La source d'infection sont les sites frauduleux que les attaquants créent sur la plateforme GitHub (nous notons qu'une telle activité est interdite par les règles de la plateforme), et le lancement de programmes téléchargés à partir de cette plateforme. Alternativement, des liens vers des logiciels malveillants peuvent être ancrés dans les descriptions au-dessous de la vidéo sur Youtube. Lorsque vous cliquez sur le lien, une archive cryptée auto-extractible protégée par un mot de passe est téléchargée, ce qui l'empêche d'être automatiquement scannée par un logiciel antivirus. Après avoir entré le mot de passe indiqué par les pirates sur la page de téléchargement, l'ensemble de fichiers temporaires suivant est déballé sur l'ordinateur de la victime dans le dossier %ALLUSERSPROFILE%\jedist :

UnRar.exe — décompresseur d'archives RAR ;
WaR.rar — archive RAR ;
Iun.bat, script qui crée une tâche pour exécuter le script Uun.bat, lance un redémarrage de l'ordinateur et se supprime lui-même ;
Uun.bat, script obscurci qui décompresse le fichier WaR.rar, lance les fichiers qu'il contient ShellExt.dll et UTShellExt.dll, puis supprime la tâche créée par Iun.bat et le dossier jedist ainsi que son contenu.

Le fichier ShellExt.dll est un interpréteur du langage AutoIt et n'est pas malveillant en soi. Cependant, ce n'est pas son vrai nom. Les attaquants ont renommé le fichier source nommé AutoIt3.exe en ShellExt.dll pour se faire passer pour la bibliothèque de programmes WinRAR, responsable de l'intégration des fonctions d'archivage dans le menu contextuel de Windows. Après son démarrage, l'interpréteur charge à son tour le fichier UTShellExt.dll, qui a été " emprunté " par des pirates à l'utilitaire Uninstall Tool. Ils ont « attaché » un script AutoIt malveillant à cette bibliothèque, signé avec une signature numérique valide. Une fois qu'il est terminé, la charge utile est déballée, dont tous les fichiers sont très obscurcis.

AutoIt est un langage de programmation pour créer des scripts d'automatisation et des utilitaires pour Windows. Sa facilité d'utilisation et ses nombreuses fonctionnalités l'ont rendu populaire auprès de différentes catégories d'utilisateurs, y compris les auteurs de virus. Certains programmes antivirus détectent tout script AutoIt compilé comme malveillant.

Le fichier UTShellExt.dll effectue les actions suivantes :

Recherche l'exécution d'un logiciel de débogage dans la liste des processus. Le script contient les noms d'environ 50 utilitaires différents utilisés pour le débogage, et si au moins un processus de cette liste est détecté, le script cesse de fonctionner.
Si aucun logiciel de débogage n'est trouvé, les fichiers nécessaires pour poursuivre l'attaque sont décompressés dans le système compromis. Certains fichiers sont « propres », ils sont nécessaires à la mise en œuvre de l'interaction réseau, et les autres effectuent des actions malveillantes.
Crée des événements système pour fournir un accès réseau avec Ncat et télécharger des fichiers BAT et DLL, il apporte également des modifications au registre pour mettre en œuvre l'interception du lancement de l'application à l'aide des techniques IFEO.
IFEO (Image File Execution Options) sont des fonctionnalités fournies par Windows pour les développeurs de logiciels, telles que l'exécution automatique d'un débogueur au démarrage d'une application. Cependant, les pirates peuvent utiliser les techniques IFEO pour s'ancrer dans le système. Pour ce faire, ils modifient le chemin d'accès au débogueur, en spécifiant plutôt le chemin d'accès au fichier malveillant, de sorte que chaque fois qu'une application légitime est lancée, des applications malveillantes seront également lancées. Dans le cas en question, les pirates « s'accrochaient » aux services système Windows, ainsi qu'aux processus de mise à jour des navigateurs Google Chrome et Microsoft Edge ( MoUsoCoreWorker.exe, svchost.exe, TrustedInstaller.exe, GoogleUpdate.exe et MicrosoftEdgeUpdate.exe).
Empêche l'accès à la suppression, à l'enregistrement et à la modification des dossiers et des fichiers créés à l'étape 2
Désactive le service de récupération Windows
Envoie des informations sur les caractéristiques techniques de l'ordinateur infecté, son nom, la version du système d'exploitation et des informations sur le logiciel antivirus installé aux attaquants via Telegram.

Les fonctions de minage caché et de vol de cryptomonnaie sont effectuées par les fichiers DeviceId.dll et 7zxa.dll. Les deux fichiers sont intégrés dans le processus explorer.exe (Explorateur Windows) à l'aide de la technique Process Hollowing. Le premier fichier est une bibliothèque légitime distribuée dans le cadre d'un environnement de développement .NET qui a été intégré avec un script AutoIt malveillant qui exécute un mineur SilentCryptoMiner. Ce mineur dispose de capacités étendues pour configurer et masquer le processus d'extraction de cryptomonnaie, ainsi que d'une fonction de contrôle à distance.

La bibliothèque 7zxa.dll déguisée en composant de l'archiveur 7-Zip, est ce qu'on appelle le clipper. Ce type de logiciel malveillant est utilisé pour surveiller les données dans le presse-papiers, qu'il peut remplacer ou transmettre aux attaquants. Dans ce cas, le clipper surveille l'apparition dans le presse-papiers de séquences typiques de symboles caractéristiques des adresses de portefeuille et les remplace par celles qui ont été indiquées par les intrus. Au moment de la publication, on sait de manière fiable que ce n'est qu'en utilisant ce clipper que les pirates ont pu s'enrichir de plus de 6 000 $.

La technique Process Hollowing consiste à exécuter un processus de confiance dans un état suspendu, à remplacer son code en mémoire par un code malveillant, puis à reprendre le processus. L'utilisation d'une telle technique conduit à l'apparition de copies du processus du même nom, donc dans notre cas, trois processus explorer.exe ont été observés sur les ordinateurs des victimes, ce qui est suspect en soi, puisque ce processus existe normalement en une seule copie.

Au total, plus de 28 000 personnes ont été touchées par ces malwares, dont la grande majorité sont des résidents de Russie. De plus, un nombre important d'infections sont observées en Biélorussie, en Ouzbékistan, au Kazakhstan, en Ukraine, au Kirghizistan et en Turquie. Étant donné que les ordinateurs des victimes ont été compromis lors de l'installation de versions piratées de programmes populaires, les principales recommandations pour prévenir de tels incidents sont le téléchargement de logiciels à partir de sources officielles, l'utilisation de logiciels open source et l'utilisation de logiciels antivirus. Les utilisateurs des produits antivirus Dr.Web sont protégés de manière fiable contre cette menace.

En savoir plus sur Trojan.AutoIt.1443

Indicateurs de compromission

Un appât pour les attaquants : un serveur contenant une version vulnérable de la base de données Redis a permis de révéler une nouvelle modification de rootkit conçu pour dissimuler le processus de minage de crypto-monnaies.

Thu, 03 Oct 2024 00:00:00 GMT

le 3 octobre 2024

Les analystes de Doctor Web ont identifié une nouvelle modification du rootkit qui installe le cheval de Troie Skidmap sur les machines Linux compromises. Ce rootkit est conçu sous la forme d'un module malveillant du noyau qui masque l'activité du mineur en remplaçant les informations sur la charge CPU et l'activité réseau. Cette attaque est massive et vise principalement le secteur des entreprises — grands serveurs et environnements cloud, car c'est avec de telles ressources que l'efficacité de l'exploitation minière sera maximale.

Le système de gestion de base de données Redis est l'un des plus populaires au monde : les serveurs Redis sont utilisés par de grandes entreprises telles que X (anciennement Twitter), AirBnB, Amazon, etc. Les avantages du système sont évidents : performances maximales, exigences minimales en matière de ressources, prise en charge de divers types de données et de langages de programmation. Cependant, ce produit présente des inconvénients : puisque l'utilisation de Redis n’implique pas son installation sur la périphérie du réseau, seules les fonctionnalités de sécurité de base sont prises en charge dans la configuration par défaut, et dans les versions jusqu'à 6.0, il n'y a pas de mécanismes de contrôle d'accès et de cryptage. De plus, chaque année, il y a des rapports dans les médias spécialisés sur des vulnérabilités trouvées dans Redis. Par exemple, en 2023, 12 ont été enregistrées, dont trois avaient le statut de « sérieuse ». Les rapports fréquents de serveurs compromis suivis de l'installation de logiciels de minage ont attiré l'intérêt des experts du laboratoire Doctor Web, qui souhaitaient observer directement une telle attaque. Pour ce faire, il a été décidé de lancer notre propre serveur Redis avec la protection désactivée et d'attendre les invités non invités. Au cours de l'année, il y a eu de 10 à 14 000 attaques sur le serveur chaque mois, et récemment, la présence de logiciels malveillants Skidmap a été détectée, ce que nos analystes attendaient. Cependant, il était inattendu que dans ce cas, les cybercriminels utilisent une nouvelle méthode pour dissimuler l'activité du mineur et installent en même temps quatre portes dérobées à la fois.

Les premiers messages concernant l'apparition du Trojan Skidmap sont apparus en 2019. Ce Trojan mineur a une certaine spécialisation et se trouve principalement dans les réseaux d'entreprise, car c'est dans le segment des entreprises qu'il est possible de tirer un maximum de l'exploitation minière secrète. Malgré le fait que cinq ans se soient écoulés depuis l'apparition du cheval de Troie, le principe de son fonctionnement reste inchangé : il est installé dans le système par l'exploitation de vulnérabilités ou de paramètres logiciels incorrects. Dans le cas de notre serveur de leurre, les pirates ont ajouté des tâches au planificateur système cron, dans lequel un script était lancé toutes les 10 minutes qui téléchargeait le compte-gouttes Linux.MulDrop.142 (ou une autre modification de celui-ci — Linux.MulDrop.143). Cet exécutable vérifie la version du noyau du système d'exploitation, désactive le module de sécurité SELinux, puis déballe dans l'OS les fichiers du rootkit Linux.Rootkit.400, du mineur Linux.BtcMine.815, ainsi que les fichiers des portes dérobées Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 et les fichiers du Trojan Linux.BackDoor.RCTL.2 pour l'accès distant. Une caractéristique distinctive du compte-gouttes est qu'il est assez volumineux, car il contient des fichiers exécutables pour diverses distributions Linux. Dans ce cas, environ 60 fichiers ont été insérés dans le corps du compte-gouttes pour différentes versions des distributions Debian et Red Hat Enterprise Linux, qui sont le plus souvent installées sur des serveurs.

Après l'installation, le rootkit intercepte un certain nombre d'appels système, ce qui lui permet d'émettre de fausses informations en réponse à des commandes de diagnostic entrées par l'administrateur. Parmi les fonctions interceptées, il y a celles qui rapportent la valeur moyenne de l'utilisation du processeur, l'activité réseau sur un certain nombre de ports et affichent une liste de fichiers dans des dossiers. Le rootkit vérifie également tous les modules du noyau chargeables et empêche le lancement de ceux qui peuvent détecter sa présence. Tout cela permet de dissimuler complètement tous les aspects de l’activité d'extraction de crypto-monnaies d'un mineur : calculs, envoi de hachages et réception de tâches.

Le but des portes dérobées installées par le dropper dans le cadre de cette attaque est de sauvegarder et d'envoyer des données sur toutes les autorisations SSH aux attaquants, ainsi que de créer un mot de passe principal pour tous les comptes du système. Il est à noter que tous les mots de passe envoyés sont en plus cryptés avec un chiffre César avec un décalage de 4 lettres.

Pour étendre la possibilité de contrôler un système compromis, les attaquants installent le cheval de Troie RAT Linux.BackDoor.RCTL.2. Ce Trojan permet d'envoyer des commandes à un serveur compromis et de recevoir toutes les données de celui-ci via une connexion cryptée que le cheval de Troie initie lui-même.

Le programme xmrig est installé en tant que mineur, il permet d'extraire un certain nombre de crypto-monnaies, dont la plus connue est Monero, qui a gagné en popularité sur le darknet en raison de son anonymat complet au niveau des transactions. Il convient de dire que la détection d'un mineur couvert par un rootkit dans un cluster de serveurs est une tâche plutôt ardue. En l'absence de données fiables sur la consommation des ressources, la seule chose qui peut conduire à l'idée de compromis est la consommation excessive d'énergie et l'augmentation de la production de chaleur. Les pirates peuvent également modifier les paramètres du mineur de manière à assurer un équilibre optimal entre les performances minières et le maintien des performances de l'équipement, ce qui attirera moins l'attention sur le système compromis.

L'évolution de la famille de logiciels malveillants Skidmap se manifeste par la complexité du schéma d'attaque : les programmes lancés se font des appels, désactivent les systèmes de protection, interfèrent avec le fonctionnement d'un grand nombre d'utilitaires et de services système, téléchargent des rootkits, etc., ce qui complique grandement la réponse à de tels incidents.

Les menaces mentionnées sont répertoriées dans la base de données virales Dr.Web et ne représentent pas de danger pour les utilisateurs de nos produits antivirus.

Indicateurs de compromission

Plus d'info sur Linux.MulDrop.142

Plus d'info sur Linux.MulDrop.143

Plus d'info sur Linux.MulDrop.144

Plus d'info sur Linux.Rootkit.400

Rapport Doctor Web sur les menaces ayant ciblé les mobiles au 3e trimestre 2024

Tue, 01 Oct 2024 02:00:00 GMT

Le 1 octobre 2024

D’après les statistiques récoltées par Dr.Web Security Space pour les appareils mobiles, ce sont les mêmes familles de malwares, connues depuis plusieurs années, qui conservent le top des détections, à savoir Android.FakeApp et Android.HiddenAds. Une troisième catégorie de trojans émerge ce trimestre, référencée dans la nomenclature Dr.Web comme Android.Siggen. Ces malwares embarquent différentes fonctionnalités malveillantes mais sont difficiles à classer dans une famille en particulier.

Au mois d’août, une vague d’infection massive de box TV tournant sous Android est découverte. La porte dérobée responsable de l’infection d’environ 1 300 000 box est référencée comme Android.Vo1d. Cette appli malveillante intègre ses composants à la zone de stockage du système sur les appareils infectés et, sur commande, peut télécharger et installer d’autres programmes.

En Indonésie, ce sont des malwares bancaires qui émergent. Notamment, Android.SmsSpy.888.origin. Protégé par un packer (empaqueté), il est détecté comme Android.Siggen.Susp.9415 et diffusé en se faisant passer pour l’appli de support client de la banque BRI, BRImo Support.

Une fois lancé, le trojan charge le site réel de la banque sur WebView : https://bri.co.id. Il utilise, en parallèle, une API de bot Telegram pour envoyer des données techniques sur les appareils infectés au Chat Telegram créés par les cybercriminels.

Android.SmsSpy.888.origin intercepte les SMS entrants et les envoie sur ce chat. Lorsqu’ils sont réceptionnés sous la forme 55555, <number>, <text>, il les interprète comme des commandes et envoie les messages correspondants avec le texte <text> au numéro <number>. Ainsi, le maware peut à la fois envoyer du spam par SMS et se propager.

Un autre exemple de malware actif en Indonésie est Android.SmsSpy.11629. Il représente un espion SMS diffusé sous le couvert de multiples applications. La version analysée par nos équipes cible les clients de la banque Mandiri Taspen en se faisant passer pour une de ses applis officielle, Movin. Le malware affiche des notifications et demande aux utilisateurs d’accepter le contrat d’utilisation. Si c’est le cas, le trojan requiert la permission de « travailler » avec les SMS.

Ensuite, le malware charge la page officielle de la banque : https://mail.bankmantap.co.id/: dans WebView

Android.SmsSpy.11629 intercepte tous les SMS entrants. Puis il utilise l’API d’un bot Telegram pour envoyer ces messages au chat Telegram des attaquants. Il ajoute le texte developed by : @AbyssalArmy à tous les messages.

TENDANCES MAJEURES DE Q3 2024

Android.Vo1d infecte des millions de box TV Android
Android.FakeApp : une famille de malwares toujours aussi active
Les adware de la catégorie Android.HiddenAds également encore très actifs
Google Play toujours ciblé

D’après les statistiques récoltées par Dr.Web Security Space pour les appareils mobiles

Android.FakeApp.1600: Trojan qui charge des sites web codés en dur (hardcoded) dans leurs paramètres.
Android.HiddenAds.3994: Appli intrusive qui affiche des publicités intempestives. Les membres de la famille Android.HiddenAds sont régulièrement diffusés sous couvert d’applis inoffensives et connues.
Android.MobiDash.7815
Android.MobiDash.7813: Trojans qui affichent des publicités intempestives sans accord de l’utilisateur. Ce sont souvent des modules qui sont intégrés aux applis par les développeurs.
Android.Click.1751: Ce cheval de Troie est intégré aux mods de messagerie WhatsApp tiers et camouflé en classes de bibliothèque Google. Pendant l’utilisation de l’application hôte, Android.Click.1751 se connecte à un serveur C&C qui lui envoie deux URLs. L’une d’entre elles s’adresse à des utilisateurs russophones et l’autre est universelle. Le malware affiche ensuite une boîte de dialogue dont le contenu lui a également été transmis par un serveur distant. Lorsqu’un utilisateur clique sur le bouton de confirmation, le malware télécharge un lien dans son navigateur.

Program.FakeMoney.11: Ces programmes consistent en des applis Android sensées permettre aux utilisateurs de gagner de l’argent. Elles simulent l’accumulation de récompenses et indiquent qu’un certain montant doit être récolté pour en bénéficier. Ces applis présentent une liste de systèmes de paiement connus qui peuvent être soi-disant utilisés pour récupérer l’argent accumulé. Même si l’utilisateur peut voir les récompenses s’accumuler, il ne touchera bien évidemment jamais l’argent. Cette signature virale est utilisée pour détecter d’autres logiciels indésirables basés sur le code source de ces types d’applis.
Program.CloudInject.1: Série de programmes qui ont été modifiés en utilisant le service cloud CloudInject et l’utilitaire Android éponyme (ce dernier étant ajouté aux bases Dr.Web sous la nomenclature Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant mais les utilisateurs (modders) intéressés par ces modifications ne peuvent pas contrôler ce qui sera exactement ajouté aux applis concernées. De plus, ces programmes reçoivent un certain nombre de permissions système assez dangereuses. Une fois les modifications apportées, les utilisateurs peuvent gérer ces applis à distance. Ils peuvent les bloquer, afficher des boîtes de dialogue et effectuer un traçage de l’installation ou de la suppression d’autres applis sur l’appareil.
Program.FakeAntiVirus.1: Programmes dits “adwares” qui imitent les applis antivirus. Ces malwares informent les utilisateurs de menaces non existantes et les incitent à acheter une version soi-disant complète du logiciel.
Program.SecretVideoRecorder.1.origin: Cette entrée dans la base regroupe une série de modifications d’une application destinée à l’enregistrement de vidéos et à la prise de photos en background en utilisant les appareils photos intégrés des mobiles Android. Ces types d’applis peuvent opérer de manière cachée en autorisant la désactivation des notifications sur les enregistrements en cours. Elles permettent également le remplacement des nom et icône d’autres applis.
Program.TrackView.1.origin: Applications qui permettent de surveiller les utilisateurs via leur mobile Android via le traçage de la localisation de l’appareil, l’utilisation de l’appareil photo, l’écoute de l’environnement, l’enregistrement d’audios etc.

Tool.Packer.1.origin: Cet outil de packing permet de protéger des applications contre leur modification. IL n’est pas dangereux en soi, mais il pourrait être utilisé par des personnes malintentionnées pour protéger des malwares.
Tool.SilentInstaller.17.origin: Cette entrée désigne une plateforme de riskwares rendant possible le lancement de fichiers APK sans les installer. Ceci créé un environnement d’exécution virtuel au sein des applications dans lesquelles ces riskwares sont installés. Les fichiers APK, lancés à l’aide de cette plateforme peuvent opérer comme s’ils faisaient partie intégrante des applications et obtenir les mêmes permissions.
Tool.NPMod.1
Tool.NPMod.2: Programmes modifiés via l’utilitaire NP Manager. Un module en particulier est embarqué dans ces apps qui leur donne la possibilité d’outrepasser la vérification de leur signature.
Tool.LuckyPatcher.1.origin: Cet outil permet de modifier des applications installées sur un appareil en créant des patchs pour celles-ci afin de modifier leur logique de fonctionnement ou d’outrepasser certaines restrictions. Par exemple, cet outil rend possible la désactivation de la vérification de l’accès root dans les applis bancaires ou l’obtention de ressources illimitées dans les jeux. Pour ajouter des patchs, l’utilitaire télécharge des scripts qui peuvent être ajoutés par n’importe qui à la base de données partagée, sur Internet. Les fonctionnalités de ces scripts peuvent s’avérer malveillantes, ce qui rend les patchs créés via cet outil potentiellement dangereux.

Adware.ModAd.1: Versions modifiées de certains mods de WhatsApp dont les fonctions sont injectées via un code spécifique qui prévoit le chargement d’URLs en affichant du contenu web (via WebView) lors de l’utilisation de WhatsApp. Ces URLs redirigent vers des sites publicitaires pour, notamment, des casinos en ligne, des sites de bookmakers ou des sites pour adultes.
Adware.Basement.1: Série d’applis qui affichent des publicités non désirées menant souvent vers des sites vérolés ou frauduleux. Ces applis partagent une base de code commune avec les applis Program.FakeMoney.11.
Adware.Fictus.1.origin: Module d’adware embarqué dans des versions copiées de jeux et applications Android populaires. Leur intégration est facilitée par un packer net2share. Les copies ainsi créées sotn distribuées via des catalogues d’apps. Une fois installées, ces applis affichent des publicités intempestives.
Adware.Adpush.21846
Adware.AdPush.39.origin: Modules d’adwares qui peuvent être intégrés à des applis Android et qui affichent des notifications trompeuses contenant des pubs. Par exemple, ces notifications peuvent ressembler à des message de l’OS. De plus, ces modules récupèrent des données confidentielles et sont en capacité de télécharger et d’installer d’autres apps.

Menaces sur Google Play

Au 3e trimestre 2024, les analystes de Doctor Web ont découvert de nouvelles menaces se glissant dans les applis du Store. Ce sont les mêmes familles de malwares qui reviennent inlassablement, notamment Android.FakeApp et Android.HiddenAds. La tendance du trimestre est aux applis qui promettent des gains financiers.

Dans ces exemples, les applis présentent des fonctionnalités de chat et de rencontre, mais vont tout de même amener l’utilisateur vers la promesse de gagner de l’argent.

Ces applis se présentent également sous la forme d’applis de jeux et vont, sous certaines conditions, charger des sites de casino en ligne ou de bookmakers.

Les arnaques aux faux sites d’emploi sont également encore présentes via certaines apps qui invitent l’utilisateur à contacter un employeur ou à envoyer son CV.

Enfin, de nombreux malwares se dissimulent dans des applis graphiques proposées sur GP.

Pour protéger votre mobile Android, installez Dr.Web Security Space pour les appareils mobiles.

Indicateurs de compromission

Rapport viral Doctor Web du 3e trimestre 2024

Tue, 01 Oct 2024 00:00:00 GMT

Le 1 octobre 2024

D’après les statistiques récoltées par les antivirus Dr.Web, le nombre total de menaces au 3e trimestre 2024 a augmenté de presque 11% par rapport au trimestre précédent. Le nombre de menaces uniques a baissé de 4,7%. La majorité des détections concernent des adwares. Nous trouvons également des scripts malveillants, des Trojans qui affichent des publicités non désirées et des trojans faisant partie d’autres malwares et rendant ces derniers plus difficiles à détecter. Dans le trafic e-mail, ce sont des scripts malveillants et des programmes qui exploitent les vulnérabilités de documents Micosoft Office qui sont le plus souvent détectés.

Du côté des appareils tournant sous Android, nous retrouvons toujours les trojans de la famille Android.FakeApp, les adwares de la catégorie Android.HiddenAds, et les applis malveillantes Android.Siggen. Au mois d’août, nos analystes ont mis en lumière un malware infectant les box TV tournant sous Android, Android.Vo1d. En Indonésie, une vague de malwares bancaires a été notée. Enfin, le Lab de Doctor Web a, ce trimestre encore, détecté plusieurs meances sur Google Play.

Tendances principales pour Q3 2024

Les programmes dits “adwares” restent les menaces les plus courantes
Les scripts malveillants inondent le trafic e-mail
Plus d’un million de box TV Android infectées par la porte dérobée Android.Vo1d
Nouvelles menaces sur Google Play

D’après les statistiques récoltées par Dr.Web

Menaces les plus courantes au 3e trimestre 2024 :

Adware.Downware.20091
Adware.Downware.20477: Ces adwares servent le plus souvent à installer d’autres logiciels malveillants.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque JavaScript publique es5-ext-main. Il affiche un message spécifique si le package est installé sur un serveur situé dans un certain fuseau horaire de plusieurs villes russes.
Trojan.StartPage1.62722: Programme malveillant qui peut modifier la page d’accueil dans les paramètres des navigateurs.
Adware.Ubar.20: Client Torrent destiné à installer des programmes non désirés sur l’appareil.

Statistiques relatives aux malwares présents dans le trafic e-mail

JS.Siggen5.44590:  Code malveillant ajouté à la bibliothèque JavaScript publique es5-ext-main. Il affiche un message spécifique si le package est installé sur un serveur situé dans un certain fuseau horaire de plusieurs villes russes.
JS.Inject: Catégorie de JavaScripts malveillants qui injectent des scripts nocifs dans le code HTML de pages web.
LNK.Starter.56: Raccourci dsitribué via des médias amovibles comme des clés USB et qui s’affiche comme l’icône par défaut d’un disque sur la machine pour ne pas être repéré. Lorsqu’il est lancé, il exécute des scripts VBS malveillants depuis un répertoire masqué localisé sur le même disque que le raccourci lui-même.
W97M.DownLoader.6154: Famille de trojans “downloaders” qui exploitent des vulnérabilités dans les documents Microsoft Office. Ils peuvent également élécharger d’autres malwares sur les machines infectées.
Trojan.AutoIt.1410: Nom donné à des versions empaquetées des applis malveillantes référencées comme Trojan.AutoIt.289 et écrites dans le langage de script AutoIt. Ces malwares sont distribués comme partie d’un groupe d’applications malveillantes incluant un miner, une porte dérobée et un module capable de s’auto-propager.

Ransomwares à chiffrement

Au troisième trimestre 2024, le nombre de demandes de déchiffrement de fichiers touchés par des rançongiciels à chiffrement a baissé de 15.7% par rapport au trimestre précédent.

Courbe des requêtes pour déchiffrement envoyées au support technique de Doctor Web :

Malwares “crypteurs” les plus souvent rencontrés en Q3 2024:

Trojan.Encoder.35534 — 19.38%
Trojan.Encoder.3953 — 9.42%
Trojan.Encoder.38200 — 3.99%
Trojan.Encoder.26996 — 2.89%
Trojan.Encoder.35067 — 2.72%

Fraude en ligne

Le 3e trimestre 2024 ne fait pas exception dans l’abondance de fraudes en ligne ciblant en permanence les internautes imprudents, notamment via du spam les incitant à cliquer sur des liens rediregenat vesr des ressources malveillantes. Les internautes russophones ont notamment été ciblés par des messages sensés provenir de boutiques en ligne connues et leur proposant de participer à des tirages au sort pour gagner des prix ou recevoir des cadeaux. Le procédé est maintenant bien connu de nos services d’analyse. Les utilisateurs sont amenés à cliquer sur un lien qui les redirige vers une page web sur laquelle ils doivent payer une « commission » pour recevoir leur prix/cadeau.

Ici, les scammers agissent soi-disant au nom d’une boutique en ligne et “offrent” un prix de of 208 760 roubles (environ 2000€)

Dans d’autres e-mails, les personnes ciblées se voient octroyer une remise pour l’achat de matériel électronique dans un grand magasin en ligne. Les liens indiqués dans ces messages redirigent vers un site web frauduleux dont le design ressemble fortement à des sites officiels de magasins connus. Lorsque l’internaute « passe commande » sur ce site malveillant, il est invité à entrer ses données personnelles et bancaires.

E-mail fruduleux invitant à “activer un code promo” pour l’achat de matériel électronique

Le spam ayant pour thème des opérations financières destinées à obtenir un gain ou à aider d’autres personnes est le plus répandu dans la « fraudosphère ». Un exemple parmi tant d’autres, touchant ici des internautes anglophones, qui invitait les utilisateurs ciblés à « confirmer » un transfert d’argent. Le message contient un lien redirigenat vers un formulaire de connexion à une banque en ligne dont le design est très proche de celui d’une banque en ligne réelle.

L’utilisateur est sensé confirmer la réception d’un virement de 1218,16$

Site et formulaire de connexion très simiaire au vrai site de la banque.

Les utilisateurs au Japon sont également touchés par ce type de fraudes en ligne, plutôt via des notifications bancaires alertant sur les montants dépensés dans le mois. Les fraudeurs placent dans leurs messages des liens avec l’adresse réelle de sites de banques, mais lorsuq’ils sont cliquésn ces liens redirigent vers de faux sites.

Tous les liens de ce message redirigent vers des sits de phishing

Les utilisateurs franophones, quant à eux, plus particulièrement en Belgique, ont reçu des messages les informant que leur compte en banque était bloqué. Pour le débloquer, ils étaient invités à suivre un lien les faisant atterrir, bien évidemment, sur unsite frauduleux.

Le message ici, est rédigé de façon à effrayer l’utilisateur sur le fait que son compte bancaire est bloqué.

Enfin, les utilisateurs russophones se sont vus ciblés par des spams sensés provenir de banques connues leur proposant de devenir “investisseurs”. Une fois sur les sites frauduleux, les internautes sont invités à entrer leurs données personnelles.

Ici, l’utilisateur est invité à passer un test pour devenir investisseur.

Dnas le milieu de la cryptomonnaie, la fraude n’est pas en reste. Les utilisateurs sont ciblés par des messages les informant qu’un important transfer de Bitcoin n’a pas pu être effectué et que pour ce faire, il convient de payer une « commission ».

On pourrait se demander comment ou pourquoi certains internautes se font avoir. Si je n’ai aucun transfert d’argent prévu, pourquoi vais-je cliquer sur des liens dans un message que je n’attends pas ? Le fonctionnement de ces fraudes repose sur deux facteurs. Le premier est le nombre d’internautes ciblés, autant dire des millions. Le second est que les fraudeurs misent justement sur le fait que certains internautes se sentiront concernés par le message. Je suis en train d’effectuer des transactions financières, j’attends un transfert et ce message arrive. Il est fort probable que beaucoup se feront avoir. Quant aux messages annonçant le blocage de mon compte en banque, la peur reste un levier majeur de la réussite de ces fraudes en ligne.

Ici, le site malveillant informe de l’échec du transfert de Bitcoin

En Russie encore, des sites web imitant le design du réseau social Vkontakte proposaient aux utilisateurs de participer à un tirage au sort en ouvrant des « paquets cadeaux » virtuels. Si la victime potentielle cliquait sur le « bon » paquet, elle était sensée recevoir un gain financier important pour la réception duquel elle devait payer une commission.

Sites frauduleux proposant aux internautes de « tenter leur chance »

Ici, l’internaute a soi-disant remporté un prix de 194 562 roubles (1880€)

En savoir plus sur les sites web non recommandés par Doctor Web

Malwares et programmes indésirables sur les mobiles

D’après les statistiques récoltées par Dr.Web Security Space pour les appareils mobiles au 3e trimestre 2024, les applis malveillantes de la famille Android.FakeApp sont encore en tête des détections. Sans surprise, la deuxième place revient à la catégorie Android.HiddenAds. Les trojans de la série Android.Siggen arrivent en troisième place.

Google Play abrite encore des applis vérolées, notamment des familles de malwares suscitées. Une attaque ciblant les box TV Android et ayant infecté 1 300 000 appareils dans 197 pays a été mise en lumière. Le malware utilisé, Android.Vo1d, une porte dérobée, plaçait ses composants dans la zone de stockage du système et pouvait, sur commande des pirates, télécharger et installer de façon masquée d’autres logiciels.

En Indonésie, deux malwares bancaires ont particulièrement attiré l’attention de nos analystes, Android.SmsSpy.888.origin et Android.SmsSpy.11629.

Top 3 des malwares et familles de malwares en Q3 2024 :

Pour en savoir plus sur les mneaces ayant ciblé les mobiles au 3e trimestre 2024, lisez notre rapport dédié.

Le vide s'est emparé de plus d'un million de décodeurs TV sous Android

Thu, 12 Sep 2024 16:23:14 GMT

Le 12 septembre 2024

Les experts de Doctor Web ont identifié un nouveau cas d'infection de décodeurs TV basés sur Android. Le programme malveillant, baptisé Android.Vo1d, a infecté près de 1 300 000 appareils dans 197 pays. Il s'agit d'une porte dérobée qui place ses composants dans la zone système et qui, sur commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.

En août 2024, Doctor Web a été contacté par plusieurs utilisateurs sur les appareils desquels Dr.Web a enregistré des modifications dans la zone de fichier système. Les modèles suivants étaient concernés :

Modèle de décodeur TV	Version du micrologiciel déclarée
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

Dans tous les cas, les signes d'infection étaient similaires, ils seront donc décrits sur l'exemple de l'un des premiers appels. Les objets suivants ont été modifiés sur le décodeur concerné :

install-recovery.sh
daemonsu

De plus, 4 nouveaux fichiers sont apparus dans son système de fichiers :

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

Les fichiers vo1d et wd sont des composants du cheval de Troie Android.Vo1d que nous avons détecté.

Les auteurs du cheval de Troie ont probablement essayé de déguiser l'un de ses composants en programme /system/bin/vold, l'appelant par le nom similaire « vo1d ». Le logiciel malveillant a été nommé d'après ce fichier. En même temps, une telle orthographe se marie avec le mot « void » (en traduction de l'anglais — vide).

Le fichier install-recovery.sh est un script présent sur la plupart des appareils Android. Il se lance au démarrage du système d'exploitation et contient des données pour l'exécution automatique des éléments qui y sont spécifiés. Si un programme malveillant a un accès root et une possibilité d'écrire dans le répertoire système/system , il peut prendre pied sur le périphérique infecté en s'ajoutant à ce script (ou en le créant en cas d'absence dans le système). Android.Vo1d y a enregistré l'auto-démarrage du composant wd.

Le fichier modifié install-recovery.sh

Le fichier daemonsu est présent sur de nombreux appareils Android avec accès root. Il est lancé par le système au moment du démarrage et est chargé de fournir des privilèges root à l'utilisateur. Android.Vo1d s'est enregistré dans ce fichier, en configurant également l'auto-démarrage du module wd.

Le fichier debuggerd est un daemon qui est généralement utilisé pour générer des rapports d'erreur. Mais lorsque le décodeur a été infecté, ce fichier a été remplacé par un script qui exécute le composant wd.

Dans ce cas, le fichier debuggerd_real est une copie du script par lequel le fichier d'origine debuggerd a été remplacé. Les experts de Doctor Web estiment que le fichier d'origine debuggerd aurait dû être déplacé vers debuggerd_real pour maintenir son opérabilité. Cependant, en raison du fait que l'infection s'est probablement produite deux fois, le cheval de Troie a déplacé le fichier déjà substitué (c'est-à-dire le script). En conséquence, il y avait deux scripts de cheval de Troie sur l'appareil et aucun fichier réel de programme debuggerd.

Dans le même temps, les autres utilisateurs qui nous ont contactés avaient sur des appareils infectés une liste de fichiers légèrement différente :

daemonsu (analogue du fichier vo1d — Android.Vo1d.1);
wd (Android.Vo1d.3) ;
debuggerd (similaire au script décrit ci-dessus) ;
debuggerd_real (le fichier d'origine de l'utilitaire debuggerd ) ;
install-recovery.sh (un script qui charge les objets qui y sont spécifiés).

L'examen de tous ces fichiers a révélé que ses créateurs ont utilisé au moins trois méthodes différentes pour ancrer Android.Vo1d dans le système : modification des fichiers install-recovery.sh et daemonsu , ainsi que re remplacement du programme debuggerd . Ils s'attendaient probablement à ce qu'au moins un des fichiers cibles soit présent dans le système infecté, car la manipulation d'un seul d'entre eux pouvait assurer l'exécution automatique réussie du cheval de Troie lors des redémarrages ultérieurs de l'appareil.

La fonctionnalité principale de Android.Vo1d est cachée dans ses composants vo1d (Android.Vo1d.1) et wd (Android.Vo1d.3), qui fonctionnent conjointement. Le module Android.Vo1d.1 est responsable du démarrage d'Android.Vo1d.3 et il contôle son activité, si nécessaire, il redémarre le processus. Egalement, sur commande du serveur de contrôle, il peut télécharger et exécuter des fichiers exécutables. A son tour, le module Android.Vo1d.3 installe sur le periphérique et lance le daemon qui est chiffré dans son corps (Android.Vo1d.5), ce dernier est également en mesure de télécharger et de lancer des fichiers exécutables. De plus, il surveille l'apparence des fichiers APK des applications dans les répertoires indiqués et en installe.

Une étude menée par des analystes de Doctor Web a montré que la porte dérobée Android.Vo1d avait infecté environ 1 300 000 appareils et que sa géographie couvrait près de 200 pays. La plupart des infections ont été détectées au Brésil, au Maroc, au Pakistan, en Arabie saoudite, en Russie, en Argentine, en Équateur, en Tunisie, en Malaisie, en Algérie et en Indonésie.

Pays avec le plus grand nombre de periphériques infectés détectés

Une des raisons pouvant expliquer que les attaquants aient choisi de cibler les décodeurs TV est que ces appareils fonctionnent souvent sur la base de versions obsolètes d'Android, dans lesquelles les vulnérabilités ne sont pas corrigées et pour lesquelles les mises à jour ne sont plus disponibles. Par exemple, les modèles des utilisateurs qui nous ont contactés fonctionnent sous Android 7.1, malgré le fait que pour certains d'entre eux des versions beaucoup plus récentes sont indiquées dans la configuration — Android 10 et Android 12. Malheureusement, il s'agit d'une pratique courante lorsque les fabricants d'appareils bon marché utilisent des versions plus anciennes du système d'exploitation et les font passer pour plus pertinentes afin d'accroître leur attractivité.

De plus, les utilisateurs eux-mêmes peuvent percevoir à tort les décodeurs TV comme des appareils plus protégés que les smartphones. Pour cette raison, ils sont moins susceptibles d'installer un antivirus pour les protéger et courent le risque de rencontrer des logiciels malveillants lors du téléchargement d'applications tierces ou de l'installation de micrologiciels non officiels.

Pour le moment, la source d'infection des décodeurs par la porte dérobée reste inconnue. Une attaque de malware intermédiaire qui exploite les vulnérabilités du système d'exploitation pour obtenir des privilèges root peut être considérée comme l'un des vecteurs possibles. Un autre peut être l'utilisation de versions non officielles de firmware avec accès root.

Dr.Web Security Space pour les appareils mobiles détecte avec succès toutes les variantes connues du cheval de Troie Android.Vo1d et, s'il existe un accès root, traite les gadgets infectés.

Indicateurs de compromission

Plus d'info sur Android.Vo1d.1

Plus d'info sur Android.Vo1d.3

Plus d'info sur Android.Vo1d.5

Doctor Web : rapport trimestriel sur les menaces mobiles

Mon, 01 Jul 2024 04:00:00 GMT

le 1 juillet 2024

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, au deuxième trimestre 2024, les utilisateurs ont été surtout impactés par des chevaux de Troie publicitaires de la famille Android.HiddenAds et Android.FakeApp, que les attaquants utilisent dans la mise en œuvre de divers stratagèmes frauduleux. Le malware de cette famille le plus souvent rencontré est Android.FakeApp.1600, qui a été détecté fin mai.. Ce cheval de Troie est distribué via des sites malveillants, à partir desquels il est téléchargé sous le couvert d'une application de jeu de casino en ligne. Ses visiteurs sont invités à jouer à un jeu de type « roue de la chance », mais lorsqu'ils essaient de le faire, ils sont redirigés vers une page contenant un formulaire d'inscription. Le nombre élevé de détections de ce programme malveillant peut s'expliquer par le fait que les attaquants en font la publicité dans d'autres applications. Après avoir cliqué sur la pub, les utilisateurs accèdent au site malveillant correspondant à partir duquel le cheval de Troie est téléchargé.

Les malwares espions de type Android.Spy ont également été souvent retrouvés dans les détections.

Au cours du deuxième trimestre, le laboratoire de Doctor Web a révélé de nouvelles menaces sur Google Play dont différents programmes contrefaits Android.FakeApp, ainsi que le programme indésirable Program.FakeMoney.11, qui prétend convertir des récompenses virtuelles en argent réel. De plus, les attaquants ont de nouveau distribué via Google Play un cheval de Troie qui abonnait les victimes à des services payants.

Tendances principales du deuxième trimestre

Les Trojans publicitaires Android.HiddenAds restent les menaces ciblant Android les plus actives
Apparition de nouvelles menaces sur Google Play

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.FakeApp.1600: Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web de casino en ligne.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: Trojans conçus pour afficher des publicités. Les représentant de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106: Trojans représentant des versions modifiées de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations considérées comme dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installation et de désinstaller d'autres logiciels, etc.
Program.FakeMoney.11: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin: Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.Packer.1.origin: Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Cet utilitaire n'est pas malveillant mais il peut être utilisé dans le but de protéger des Trojans.
Tool.NPMod.1
Tool.NPMod.2: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.

Adware.ModAd.1: Détection de certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.AdPush.39.origin
Adware.Adpush.21846: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage de l'OS.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du deuxième trimestre 2024, les analystes de Doctor Web ont de nouveau trouvé sur Google Play des Trojans Android.FakeApp. Certains d'entre eux ont été distribués sous couvert de programmes financiers, ainsi que sous couvert d’applications conçues pour la participation à des enquêtes et à des quiz :

Ces applications pouvaient télécharger des sites Web frauduleux sur lesquels les victimes potentielles se voyaient proposer de suivre une formation financière ou de devenir investisseurs pour le compte d'institutions de crédit et de sociétés pétrolières et gazières bien connues. Pour accéder à un « service » en particulier, les utilisateurs devaient répondre à plusieurs questions, après quoi ils devaient indiquer leurs données personnelles.

D'autres Trojans Android.FakeApp ont été dissimulés derrière différents jeux. Sous certaines conditions, au lieu de la fonctionnalité déclarée, ils téléchargeaient des sites Web de bookmakers et de casinos en ligne.

Un autre cheval de Troie de la famille Android.FakeApp — Android.FakeApp.1607 a été caché dans une collection d'images. Il fournissait les fonctionnalités déclarées, mais pouvait également télécharger des sites de casino en ligne.

Les pirates ont fait passer plusieurs représentants de la famille Android.FakeApp (Android.FakeApp.1605 et Android.FakeApp.1606) pour des programmes de recherche d'emploi. Ces chevaux de Troie téléchargent de fausses listes d'emplois, où il est proposé de contacter l’employeur via des messengers Internet (par exemple, Telegram), ou d'envoyer un CV. Le stratagème a pour objectif d’attirer les utilisateurs dans divers systèmes de revenus douteux.

Nos analystes ont également détecté sur Google Play un autre programme indésirable appartenant à la famille Program.FakeMoney. De telles applications proposent aux utilisateurs d'effectuer diverses tâches et de recevoir des récompenses virtuelles, en promettant une option pour retirer ultérieurement ces récompenses sous forme d'argent réel, ce qui ne se fait jamais. Le but de ces programmes est d'encourager les utilisateurs à utiliser une application le plus longtemps possible pour leur afficher des publicités qui rapportent de l'argent aux développeurs.

Program.FakeMoney.11 est un de ces programmes, pour lequel les utilisateurs reçoivent des récompenses virtuelles pour avoir visionné des publicités dans l'application. En cas de tentative de retirer l'argent « gagné », le programme retarde cette opportunité autant que possible, en définissant en permanence de nouvelles conditions. Si l'utilisateur soumet finalement « avec succès » une demande de retrait, il sera placé dans une « file d'attente » pour que sa demande soit examinée, comme plusieurs autres milliers de « gagnants ».

Le Trojan de la famille Android.Harly — Android.Harly.87 a également été détecté sur Google Play. Les applications malveillantes de cette famille abonnent les victimes à des services payants.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Doctor Web : rapport viral du deuxième trimestre 2024

Mon, 01 Jul 2024 03:00:00 GMT

le 1 juillet 2024

Selon les statistiques de détection récoltées par l'antivirus Dr.Web, au deuxième trimestre 2024, les menaces les plus courantes étaient les logiciels publicitaires indésirables, les chevaux de Troie de publicitaires et les logiciels malveillants distribués via d'autres malwares pour les rendre plus difficiles à détecter. Les scripts malveillants et divers documents d'hameçonnage ont été le plus souvent détectés dans le trafic e-mail.

Les utilisateurs dont les fichiers ont été affectés par les rançongiciels ont le plus souvent rencontré Trojan.Encoder.3953, Trojan.Encoder.35534 et Trojan.Encoder.26996.

En ce qui concerne les appareils Android, les Trojans publicitaires le plus souvent détectés sont ceux de la famille Android.HiddenAds, ainsi que les programmes malveillants Android.FakeApp et les Trojans espions Android.Spy. Dans le même temps, nos analystes ont trouvé de nouvelles menaces dans le catalogue Google Play.

Tendances principales du deuxième trimestre

Activité élevée des chevaux de Troie publicitaires et des logiciels publicitaires
Prédominance des scripts malveillants et des documents de phishnig parmi les malwares dans le trafic e-mail
Les Trojans publicitaires Android.HiddenAds ont été de nouveau les menaces le plus souvent détectées sur les appareils Android

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du deuxième trimestre :

Adware.Downware.20091
Adware.Downware.20477: Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.StartPage1.62722: Programme malveillant qui remplace la page d'accueil dans les paramètres du navigateur.
Trojan.AutoIt.1224: Détection d'une version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Ce Trojan est distribué dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

JS.Siggen5.44590: Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
PDF.Phisher.693
PDF.Phisher.707: Documents PDF utilisés dans des newsletters de phishing.

Rançongiciels

Dynamique des demandes de déchiffrement des fichiers affectés par des rançongiciels :

Les encodeurs les plus répandus au cours du deuxième trimestre :

Trojan.Encoder.3953 — 18.43%
Trojan.Encoder.35534 — 9.22%
Trojan.Encoder.26996 — 8.75%
Trojan.Encoder.35067 — 2.07%
Trojan.Encoder.37369 — 1.61%

Sites dangereux

Au deuxième trimestre 2024, les analystes de Doctor Web ont enregistré un envoi massif de courriels de phishing destinés aux utilisateurs du Japon. Les fraudeurs, prétendant agir pour le compte d’une banque, informaient les victimes potentielles d'un achat effectué et les invitaient à prendre connaissance des détails du « paiement » en cliquant sur un lien fourni. Ce lien conduisait à une ressource Internet de phishing.

Parmi les sites frauduleux identifiés au deuxième trimestre, nos analystes Internet ont également noté des ressources d'hameçonnage qui imitaient l'apparence de véritables sites de porte-monnaie électronique, par exemple, Payeer. L’objectif était de voler les données d'authentification des utilisateurs.

Les cybercriminels ont également ciblé divers messengers. Pour ce faire, ils créent des sites avec de faux formulaires d'authentification. Vous trouverez ci-dessous un exemple de l'un d'entre eux. Les victimes potentielles sont invitées à se connecter à Telegram à l'aide d'un QR code ou d'un numéro de téléphone portable. Si l'utilisateur l'accepte, les données de connexion de son compte sont récupérées.

Dans le même temps, nos spécialistes continuent d'identifier les sites frauduleux destinés aux utilisateurs russophones. Parmi eux, les (faux) sites de loterie sont encore courants. Ils fonctionnent comme suit : les utilisateurs reçoivent un billet de loterie « en cadeau », qui s'avère être « gagnant ». Pour recevoir le prix, les victimes sont invitées à fournir les données de leur carte bancaire et à payer une commission ou des frais pour le « transfert » du prix (inexistant) sur leur compte bancaire.

Vous trouverez ci-dessous un exemple d'un tel site frauduleux. Au départ, il simule l'enregistrement d'un billet de loterie « gratuit », puis démontre une prétendue diffusion en ligne du tirage :

L'utilisateur « gagne » 314 906 roubles, mais pour les recevoir, il doit fournir les détails de sa carte bancaire. Pour le transfert de l'argent, il est tenu de payer une « taxe » d'un montant de 501 roubles :

Les fausses boutiques en ligne sur des thèmes tels que l'électronique ou l’électroménager restent également populaires parmi les escrocs. Les pirates attirent les victimes potentielles avec des « remises », des « coupons » et diverses « promotions », proposant d'acheter des produits populaires à des prix réduits. Lorsqu'ils passent une « commande » sur ces sites, les utilisateurs sont généralement invités à la payer via une banque en ligne ou par carte bancaire. Cependant, nos experts notent que les fraudeurs commencent à recourir à des systèmes de paiement rapide.

Les captures d'écran ci-dessous montrent un exemple de l'un des faux sites qui imite un détaillant d'électronique en ligne :

La victime potentielle passe une commande pour un produit avec remise :

Il lui est proposé d'utiliser un système de paiement rapide :

En savoir plus sur les sites non recommandés par Dr.Web

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, au deuxième trimestre 2024, les utilisateurs ont rencontré le plus souvent des chevaux de Troie publicitaires de la famille Android.HiddenAds. Derrière eux, se trouvent les applications malveillantes Android.FakeApp. Au troisième rang, on voit les Trojans espions Android.Spy.

Dans le même temps, de nouvelles menaces ont été détectées sur Google Play. Parmi elles, de nouveaux Trojans Android.FakeApp, le programme indésirable Program.FakeMoney.11, ainsi que le Trojan Android.Harly.87, qui abonne les utilisateurs à des services payants.

Les événements les plus importants du deuxième trimestre liés à la sécurité des appareils mobiles :

les Trojans publicitaires Android.HiddenAds restent les menaces les plus actives,
de nouvelles menaces ont été détectées sur Google Play.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au deuxième trimestre 2024, consultez notre Rapport.

Doctor Web : rapport viral de l'année 2023

Mon, 13 May 2024 02:00:00 GMT

le 13 mai 2024

Doctor Web publie son Rapport annuel sur les menaces, malwares et fraudes en ligne qui ont marqué l’année 2023. Ecrits par nos chercheurs et analystes, immergés quotidiennement dans le vaste univers de la cybercriminalité, ce Rapport n’a pas vocation à donner de grandes tendances générales, mais plutôt à sélectionner et décrire le fonctionnement des menaces. Le rapport vise néanmoins à mettre en lumière les pratiques cybercriminelles qui ont été les plus actives, ou les plus « innovantes » durant l’année écoulée.

En 2023, les malwares appelés Trojan.Autolt créées à l'aide du langage de script Autolt sont reconnus comme l'une des menaces les plus actives. Ils sont distribués au sein d'autres applications malveillantes ce qui les rend difficiles à détecter. Par ailleurs, une forte activité du Trojan.BPlug a également été enregistrée. Le trafic de messagerie a été inondé de scripts malveillants, ainsi que de documents de phishing. Les attaquants ont activement distribué des logiciels malveillants exploitant des vulnérabilités dans des documents Microsoft Office.

Par rapport à l'année précédente, le nombre de demandes d'utilisateurs pour le décryptage de fichiers a diminué en 2023. Dans le même temps, il y a également eu une diminution du nombre de détections de chevaux de Troie bancaires.

Au printemps 2023, nos experts ont enregistré une attaque de chevaux de Troie infectant les téléviseurs intelligents et les décodeurs Android TV. A l’automne 2023, nos analystes ont signalé une attaque de chevaux de Troie espions ciblant les utilisateurs d'Android en Iran. Parmi les malwares notables ayant circulé en 2023, des Trojans conçus pour voler des crypto-monnaies dissimulés dans certaines versions piratées de Windows 10 qui infectaient la section EFI du système et la propagation de plug-ins malveillants pour le serveur de messagerie Openfire.

Parmi les menaces mobiles, les plus actives ont été des chevaux de Troie publicitaires, des logiciels espions et des logiciels publicitaires indésirables. Dans le même temps, de nombreuses nouvelles applications malveillantes avec près d'un demi-milliard d'installations totales ont été identifiées dans le catalogue Google Play. Nos experts ont également trouvé de nouveaux Trojans voleurs de crypto-monnaie, visant non seulement les utilisateurs du système d'exploitation Android, mais aussi les propriétaires d'appareils fonctionnant sous iOS.

Les analystes Internet de Doctor Web ont continué à identifier des sources d'hameçonnage, notamment des faux sites Web de banques, de boutiques en ligne et de sociétés pétrolières et gazières.

Les tendances principales de l'année

Propagation généralisée de chevaux de Troie créés à l'aide du langage de script AutoIt
Large diffusion de programmes malveillants publicitaires
Diminution du nombre d'incidents impliquant des rançongiciels
Emergence de nouvelles familles de chevaux de Troie bancaires
Apparition de nombreuses nouvelles menaces sur Google Play
Forte activité des fraudeurs sur Internet
Prédominance des scripts malveillants et des documents de phishing parmi les malwares dans le trafic e-mail

Les événements les plus intéressants de 2023

En mai 2023, Doctor Web a révélé le module de cheval de Troie Android.Spy.SpinOk , qui a été proposé aux développeurs de jeux et de programmes Android en tant qu'outil de marketing, alors qu’il embarquait également des fonctionnalités d’espionnage. Il collectait des informations sur les fichiers stockés sur les appareils, et était en mesure de les transférer, il pouvait également remplacer et télécharger le contenu du presse-papiers sur un serveur distant. De plus, il pouvait afficher des publicités. Nos analystes ont identifié ce module dans plus d'une centaine d'applications téléchargées depuis Google Play plus de 421 000 000 fois. Après notre publication, le développeur SpinOk a contacté Doctor Web pour vérifier et éliminer les raisons de la classification du module comme malveillant. Par la suite, il a été mis à jour vers la version 2.4.2, qui ne contenait plus de fonctionnalités de cheval de Troie.

En juin, nos analystes ont découvert une application malveillante, Trojan.Clipper.231, conçue pour voler de la crypto-monnaie. Elle était intégrée dans un certain nombre de versions piratées de Windows 10 et lorsque les ordinateurs étaient infectés, ce malware pénétrait dans la section EFI du système. Le stealer remplaçait les adresses des portefeuilles cryptographiques dans le presse-papiers par les adresses définies par les fraudeurs. Au moment de sa détection, les attaquants étaient parvenus à voler de la crypto-monnaie pour un montant équivalent à environ 19 000 $.

Au mois de juillet 2023, Doctor Web a détecté une attaque ciblant Windows perpétrée via le cheval de Troie modulaire Trojan.Fruity.1. Avec son aide, les attaquants, en fonction de leurs objectifs, pouvaient infecter les ordinateurs avec différents types d'applications malveillantes. Ils ont également pris un certain nombre de mesures pour augmenter les chances de succès des attaques. Par exemple, Trojan.Fruity.1 a été distribué dans le cadre d'installateurs spécialement formés de programmes populaires téléchargés à partir de sites malveillants, et le processus d'infection des systèmes cibles en raison de l'architecture modulaire du cheval de Troie comprenait plusieurs étapes. De plus, des applications inoffensives ont été utilisées pour lancer les composants de Trojan.Fruity.1, et lorsque le système était infecté, une tentative de contourner la protection antivirus était effectuée.

Début septembre, notre société a publié une étude sur la porte dérobée Android.Pandora.2 qui s'attaquait principalement aux utilisateurs hispanophones. Différentes modifications de ce Trojan infectent les téléviseurs intelligents et les décodeurs Android TV en les attaquant via des versions compromises de micrologiciels, ainsi que lors de l'installation de versions de chevaux de Troie de programmes pour la visualisation illégale de vidéos en ligne. Des attaques de masse ayant impliqué Android.Pandora.2 ont été enregistrées en mars 2023. Les premières versions de ce Trojan ont été ajoutées aux bases de données virales Dr.Web au mois de mai 2017.

Un peu plus tard, nous avons signalé l'apparition des Trojans de la famille Android.Spy.Lydia dont la cible principale était les utilisateurs iraniens d'Android. Ces programmes malveillants fournissaient aux attaquants un accès à distance aux appareils infectés, disposaient de fonctionnalités de logiciels espions et étaient utilisés pour voler des informations personnelles et de l'argent.

Fin septembre, Doctor Web a mis en garde contre la propagation des plugins malveillants JSP.BackDoor.8 pour le serveur de messagerie Openfire. Ces plugins exploitaient la vulnérabilité CVE-2023-32315 de ce produit. Cette vulnérabilité permettait aux pirates d'accéder au système de fichiers des serveurs infectés et de les utiliser au sein d'un botnet. Les plugins de Trojan ont été détectés par les analystes du laboratoire de Doctor Web lors de l'examen d'une attaque d'un Trojan à chiffrement visant l'infrastructure d'un de nos clients. C'est à l'aide d'un tel plugin que l'encodeur a attaqué le serveur utilisant le logiciel Openfire embarquant la vulnérabilité. Les plugins JSP.BackDoor.8 sont des backdoors basées sur Java qui permettent d'exécuter un certain nombre de commandes sous la forme de requêtes GET et POST envoyées par les attaquants. Avec leur aide, ceux-ci peuvent également obtenir des informations sur le serveur compromis, notamment, sur les connexions réseau, l'adresse IP, les utilisateurs et la version du noyau système.

Situation virale

L'analyse des statistiques récoltées par l'antivirus Dr.Web en 2023 montre une croissance du nombre total de menaces détectées de 12% par rapport à l'année 2022. Le nombre de menaces uniques a augmenté de 21,7%. L'activité la plus notable a été celle de chevaux de Troie distribués dans le cadre d'autres programmes malveillants afin de les rendre plus difficiles à détecter. De plus, les utilisateurs ont souvent rencontré des chevaux de Troie publicitaires et toutes sortes de scripts malveillants.

Trojan.BPlug.3814
Trojan.BPlug.4087: Composants malveillants de l'extension de navigateur WinSafe. Ces composants représentent des scripts JavaScript qui affichent des publicités intrusives dans les navigateurs.
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1122
Trojan.AutoIt.1147: Version packagée du cheval de Troie Trojan.AutoIt.289, écrit dans le langage de script AutoIt. Ce Trojan est distribué dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Le Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge utile principale.
BAT.Hosts.187: Script malveillant écrit dans le langage d'interpréteur de commandes de Windows. Il modifie le fichier hosts en y ajoutant une liste spécifique de domaines.
Trojan.Hosts.51189: Cheval de Troie qui modifie le contenu du fichier hosts sur les ordinateurs tournant sous Windows.
BAT.Starter.457: Script malveillant écrit dans le langage d'interpréteur de commandes de Windows. Il est conçu pour exécuter diverses applications malveillantes sur les ordinateurs cibles.

Dans le trafic de messagerie, en 2023, les menaces les plus courantes ont été les scripts malveillants et les documents d'hameçonnage, se présentant le plus souvent sous la forme de faux formulaires de saisie d'informations d'identification. Ces documents simulent l'authentification sur des sites populaires et transfèrent les données saisies par les victimes aux attaquants. La propagation des programmes malveillants qui exploitent les vulnérabilités dans les documents Microsoft Office a de nouveau pris l'envergure.

JS.Inject: Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
PDF.Phisher.458
PDF.Phisher.455
PDF.Phisher.474
PDF.Phisher.456
PDF.Phisher.486
PDF.Phisher.463: Documents PDF utilisés dans des newsletters de phishing.
Exploit.CVE-2018-0798.4: Exploit conçu pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permet l'exécution de code arbitraire.
LNK.Starter.56: Détection d'un raccourci spécialement créé qui est distribué via des lecteurs amovibles et qui possède une icône de disque pour tromper les utilisateurs. Lors de son ouverture, des scripts VBS malveillants sont lancés d'un répertoire caché situé sur le même support que le raccourci lui-même.

Rançongiciels

En ce qui concerne les rançongiciels, en 2023, les demandes de déchiffrement de fichiers au laboratoire antivirus de Doctor Web ont diminué de 28,8 %. Le graphique suivant montre la dynamique d'enregistrement des demandes de décryptage de fichiers :

Les ransomwares à chiffrement les plus répandus en 2023 :

Trojan.Encoder.26996 (21,3 % des demandes des utilisateurs): Ransomware connu sous le nom de STOP Ransomware. Il tente d'obtenir la clé privée du serveur, et en cas d'échec, il utilise une clé embarquée. L'un des rares ransomware qui crypte les données avec l'algorithme de flux Salsa20.
Trojan.Encoder.3953 (18,8 % des demandes des utilisateurs): Ransomware à chiffrement qui possède plusieurs versions et modifications. Pour le chiffrement, il utilise l'algorithme AES-256 en mode CBC.
Trojan.Encoder.35534 (6% des demandes des utilisateurs): Ransomware connu sous le nom de Mimic. Lors de la recherche de fichiers cibles pour le cryptage, le cheval de Troie utilise la bibliothèque everything.dll du programme Everything légitime, conçu pour rechercher instantanément des fichiers sur les ordinateurs Windows.
Trojan.Encoder.34027 (2,1% des demandes des utilisateurs): Ransomware à chiffrement, également connu sous le nom de TargetCompany ou Tohnichi. Pour crypter les fichiers, le programme utilise les algorithmes AES-128, Curve25519 et ChaCha20.
Trojan.Encoder.35209 (2% des demandes des utilisateurs): Ransomware à chiffrement connu sous le nom de Conti (l'une des variantes du cheval de Troie Trojan.Encoder.33413). Il utilise l'algorithme AES-256 pour chiffrer les fichiers.

Fraudes en ligne

En 2023, les analystes Internet de Doctor Web ont constaté une forte recrudescence de fraudes en ligne et ont trouvé de nombreux sites de phishing attirant les internautes via des sujets financiers : environ 60% des ressources Internet indésirables identifiées imitaient des sites réels d'établissements de crédit. Parmi ces ressources, on note l’utilisation massive de faux comptes personnels pour se connecter aux banques en ligne et la publication de pages avec des pseudo-polls à l’aide desquels les cybercriminels tentaient d'obtenir des données personnelles et des données bancaires.

De nombreuses arnaques proposaient des offres permettant d'améliorer la situation financière des internautes. Dans certains cas, on leur proposait de gagner de l'argent en investissant dans des services prétendument liés à de grandes sociétés pétrolières et gazières. Dans d'autres, ils étaient invités à recevoir un accès à certaines plateformes de trading automatisées censées garantir des profits élevés.

Les arnaques aux aides sociales ont également fait leur retour en masse en 2023. Le système d'hameçonnage sur ces sites consiste à inviter l’internaute à répondre à un certain nombre de questions simples et à indiquer ses données personnelles pour l'enregistrement d'un compte, moyennant quoi il serait éligible à des aides sociales. Afin de toucher l’aide, il doit auparavant s’acquitter d’une « commission » pour le transfert de la somme promise.

Les captures d'écran ci-dessous montrent des exemples de sites Web financiers frauduleux. Dans le premier cas, les utilisateurs se voient offrir l'accès à une « plateforme d'investissement » prétendument pour le compte d'une grande société pétrolière et gazière russe. Dans le second, à un service d'investissement prétendument lié à une banque européenne et dans le troisième, à un pseudo système de trading « automatisé », connu sous le nom de Quantum UI, Quantum System, etc.

De nouveau en 2023, de nombreux stratagèmes d'hameçonnage liés à toutes sortes d '« actions », de « primes » et de « cadeaux » ont circulé. Les fraudeurs attirent les victimes potentielles vers de faux sites Web de boutiques en ligne, de détaillants, de guichets en ligne pour la vente de billets, etc., où ils peuvent participer à un tirage au sort, recevoir un cadeau ou des bonus, ou acheter un produit particulier à un meilleur prix. Les attaquants induisent les utilisateurs en erreur afin de leur voler de l'argent et des données de carte bancaire. Des exemples de sites frauduleux sont présentés ci-dessous.

Un faux site imitant l'apparence d'une véritable ressource Internet d'un magasin d'électroménager et d'électronique russe :

Les fraudeurs proposent aux victimes potentielles d '« acheter » un produit à prix réduit en le payant avec une carte bancaire ou en transférant des fonds via une banque en ligne.

Site frauduleux où les visiteurs seraient invités à participer à un « tirage au sort » pour le compte de boutiques en ligne :

Une fois que la victime potentielle a « gagné » un prix important, elle doit prétendument payer une commission pour la conversion de devises pour le recevoir.

Ressource Internet frauduleuse, conçue dans le style du site officiel d’une boutique en ligne russe :

L'utilisateur est invité à répondre à plusieurs questions pour participer au tirage d’un prix en espèces. Après la simulation d’un tirage au sort, la victime est informée qu’elle a gagné, mais que pour « obtenir » la somme, elle doit payer une « commission ».

Site d'hameçonnage offrant aux visiteurs des billets de loterie « gratuits » :

Apparemment, l'utilisateur qui " gagne " à la loterie doit payer une « commission » pour recevoir les gains.

A l’été 2023, un type d’arnaque axée sur de prétendus services d’aide juridique a émergé. Ces sites prétendaient restaurer des documents officiels perdus ou vendre des documents administratifs « complètement nouveaux » en Russie, pays de la CEI et d'autres pays. Parmi les documents proposés, des diplômes d'enseignement supérieur, des permis de conduire, toutes sortes de certificats, etc. Au-delà de perdre leurs données personnelles et de l’argent, les utilisateurs, achetant de faux documents, s’exposaient à des poursuites en cas de détection de la supercherie. Ci-dessous des captures d'écran avec des exemples de sites proposant des services douteux.

Un exemple de site Web proposant d'acheter un passeport d'un citoyen de la Fédération de Russie :

Sites proposant l'achat de diplômes d'enseignement supérieur, certificats, permis de conduire et d'autres documents :

A l’automne, les analystes Internet de Doctor Web ont enregistré un envoi de phishing prétendument pour le compte des autorités fiscales. Ces messages contenaient un lien vers un site Web sur lequel les visiteurs étaient invités à vérifier que les organisations et les entreprises respectaient les exigences de la loi sur les données personnelles (FZ numéro 152 « sur les données personnelles »). Pour ce faire, ils devaient répondre à une petite enquête, puis indiquer leurs données personnelles « pour obtenir des résultats et des conseils d'experts gratuits ». Après avoir répondu aux questions, le site demandait aux visiteurs leur numéro de téléphone et leur adresse e-mail.

Dans le même temps, l'année dernière, nos experts ont constaté une augmentation de l'utilisation de la plateforme de blog Telegraph par les fraudeurs. Les attaquants y publient des messages d'hameçonnage avec des liens menant à divers sites indésirables. Dans ce cas, les liens vers les pages contenant des publications frauduleuses sont préalablement convertis via des services de réduction de liens.

Un exemple d'une telle publication frauduleuse est présenté dans la capture d'écran ci-dessous : L'utilisateur est invité à activer un certain compte, mais en cliquant sur l'élément avec le texte « CONFIRMER », il est redirigé vers le site d'hameçonnage.

Сiblant les appareils mobiles

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, les chevaux de Troie Android.HiddenAds affichant des publicités indésirables sont les logiciels malveillants Android les plus répandus en 2023, représentant 31,6 % des logiciels malveillants détectés. Dans le même temps, la menace la plus active est Android.HiddenAds.3697 qui a été détectée sur les appareils protégés dans 10,7% des cas. Les chevaux de Troie Android.Spy dotés d'une fonction d'espionnage arrivent en deuxième position avec une part de 28,2 %. Parmi eux, le cheval de Troie Android.Spy.5106 (20,8 % des cas) a été le plus fréquemment détecté. Au troisième rang (10%) on voit les Trojans publicitaires Android.MobiDash.

Le programme indésirable le plus actif est Program.FakeMoney.7 (29,9 % des détections de logiciels indésirables). Le deuxième programme le plus actif est Program.FakeAntiVirus.1. Ce logiciel simule le fonctionnement des antivirus, détecte des menaces inexistantes et propose aux utilisateurs d'acheter la version complète du programme. La troisième place avec une part de 9,4 % est occupée par les applications modifiées via le service cloud CloudInject. Des autorisations dangereuses et du code obscurci dont l'objectif ne peut pas être contrôlé sont ajoutés à ces programmes (l'antivirus Dr.Web les détecte comme Program.CloudInject.1).

Comme l'année précédente, les utilitaires Tool.SilentInstaller ont de nouveau pris la première place parmi les programmes potentiellement dangereux en termes de nombre de détections (48,8% des cas de détection de logiciels potentiellement dangereux). Ils permettent d'exécuter des applications Android sans installation et peuvent être utilisés par des cybercriminels pour lancer des logiciels malveillants. La deuxième place est occupée par les utilitaires Tool.LuckyPatcher avec une part de 14%, qui permettent de modifier les applications Android en leur ajoutant des scripts téléchargés à partir d'Internet. En troisième position avec une part de 10%, on voit des applications protégées par l'outil de compression Tool.ApkProtector.

La famille de logiciels publicitaires la plus courante en 2023 est Adware.Adpush, qui représentait 35,8 % des détections de logiciels publicitaires indésirables. Vient ensuite le groupe de malwares Adware.MagicPush avec une part de 9,5%. La troisième place revient à la famille de modules publicitaires Adware.Airpush, représentant 8,5% des détections.

Au cours de l'année écoulée, les analystes de Doctor Web ont identifié plus de 440 applications malveillantes dans le catalogue Google Play, qui ont été téléchargées au total au moins 428 000 000 fois. Parmi les menaces détectées figuraient plus de 100 programmes dotés d'un module intégré Android.Spy.SpinOk ayant des fonctionnalités de logiciels espions. De plus, notre laboratoire antivirus a enregistré plus de 300 Trojans Android.FakeApp, utilisés dans la mise en œuvre de divers stratagèmes frauduleux. Nos spécialistes ont également identifié les chevaux de Troie Android.Proxy.4gproxy, transformant les appareils infectés en serveurs proxy afin de faire transiter du trafic tiers à travers eux de manière transparente. Parmi les menaces détectées figurent les chevaux de Troie publicitaires de la famille Android.HiddenAds, le programme malveillant espion Android.Spy.1092.origin et le voleur de crypto-monnaie Android.CoinSteal.105. On a vu également l'apparition de nouveaux représentants d' Android.Subscription - une famille de chevaux de Troie qui abonnent les utilisateurs à des services payants. Dans le même temps, les Trojans Android.Joker et Android.Harly conçus pour abonner leurs victimes à des services payants ont de nouveau été diffusés sur Google Play.

Par rapport à 2022, le nombre de détections de chevaux de Troie bancaires ciblant la plateforme Android a diminué de près de moitié en 2023. Néanmoins, les analystes de virus du Doctor Web ont enregistré l'émergence de nouvelles familles, dont beaucoup ciblaient les utilisateurs russes et iraniens.

Dans le même temps, nos spécialistes ont continué à identifier des sites malveillants qui distribuent de fausses applications de portefeuille crypto pour les appareils Android et iOS afin de voler de la crypto-monnaie.

Pour plus d'infos sur les menaces ayant ciblé les appareils mobiles en 2023, lisez notre rapport.

Perspectives et tendances

L'utilisation généralisée de chevaux de Troie publicitaires en 2023 a montré que les revenus illégaux restent une priorité pour les cybercriminels. Ceci est également confirmé par l'utilisation active de chevaux de Troie écrits dans le langage de script AutoIt, qui sont également utilisés au sein des miners pour les rendre difficiles à détecter. À cet égard, il est clair que les programmes malveillants qui aident les auteurs de virus à s'enrichir au détriment de leurs victimes resteront dans l'arsenal des cybercriminels en 2024.

Dans le même temps, malgré la diminution du nombre total d'attaques utilisant des chevaux de Troie bancaires, le développement de ce type d'applications malveillantes ne s'arrête pas, comme en témoigne l'émergence de nouvelles familles. Cette tendance devrait se poursuivre.

La fraude en ligne, quant à elle, devrait continuer à sévir. Avec le développement des technologies numériques, les attaquants, tout en utilisant des systèmes de tromperie éprouvés, sont susceptibles d'en utiliser de plus en plus de nouveaux, notamment l’IA.

Nous devrions nous attendre à l'émergence de nouvelles menaces ciblant les appareils mobiles, y compris dans les boutiques d'applications officielles telles que Google Play. Dans le même temps, il est probable que de nouveaux programmes malveillants apparaissent pour les appareils exécutant non seulement Android, mais également d'autres plateformes, en particulier iOS.

L'attaque sur le logiciel Openfire a montré une fois de plus l'importance d'installer des mises à jour et de maintenir les programmes utilisés à jour. Il est possible qu'en 2024, les cybercriminels fassent de nouvelles tentatives d'attaque en utilisant toutes sortes d'exploits, y compris des attaques ciblées.

Lumières sur la sécurité

Des horizons infinis

Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles en 2023.

Wed, 17 Apr 2024 03:00:00 GMT

le 17 avril 2024

Les Trojans publicitaires ont été les menaces ciblant Android les plus courantes en 2023. Par rapport à l'année précédente, les chevaux de Troie espions ont diminué leur activité. Les chevaux de Troie bancaires, bien que détectés moins fréquemment, constituent toujours une menace sérieuse pour les utilisateurs du monde entier, car ce type de menace continue d'évoluer. L'année dernière, un grand nombre de nouvelles familles de malwares bancaires Android ont été identifiées, dont beaucoup ont délibérément attaqué, par exemple, des utilisateurs russes et iraniens.

Dans le même temps, on constate toujours une forte activité des fraudeurs, qui créent et utilisent de multiples applications malveillantes à l'aide desquelles ils mettent en œuvre une variété de stratagèmes frauduleux.

L’année dernière encore, les cybercriminels n'ont pas ignoré le catalogue Google Play. Au cours de l'année, le laboratoire de Doctor Web a détecté plus de 400 chevaux de Troie, qui ont été téléchargés au total au moins 428 000 000 fois.

Enfin, la récolte de cryptomonnaie par des méthodes frauduleuses reste d’actualité en 2023, et vise également iOS.

Les tendances de l'année 2023

Augmentation de l'activité des Trojans publicitaires
Diminution de l'activité des Trojans bancaires
Apparition de nouvelles familles de banquiers Android ciblant les utilisateurs de Russie et d'Iran
Apparition de nombreuses nouvelles menaces sur Google Play
Activité élevée des fraudeurs
Apparition de nouveaux chevaux de Troie conçus pour voler les crypto-monnaies sous les systèmes d'exploitation Android et iOS

Les événements les plus intéressants de 2023

En mai de l'année dernière, Doctor Web a identifié plus de 100 applications sur Google Play avec le module logiciel SpinOk, qui se positionnait comme une plateforme marketing spécialisée pour l'intégration dans les jeux et programmes Android. Cet outil a été conçu pour garder les utilisateurs dans les applications grâce à des mini-jeux, un système de tâches, ainsi que des tirages au sort présumés. Cependant, le module avait une fonctionnalité de logiciel espion et a donc été ajouté à la base de données virales Dr.Web en tant qu'Android.Spy.SpinOk. Il collectait des informations sur les fichiers stockés sur des appareils Android, et était capable de les transférer à des pirates, il pouvait également remplacer et télécharger le contenu du presse-papiers sur un serveur distant. De plus, le module affichait des publicités sous forme de bannières, dont des exemples sont présentés ci-dessous.

Au total, les applications détectées qui contenaient Android.Spy.SpinOk ont été téléchargées plus de 421 000 000 fois. Après avoir contacté notre société, le développeur SpinOk a apporté des corrections au module, ainsi la version actuelle de la plateforme 2.4.2 à ce moment-là ne contenait plus de fonctionnalité de cheval de Troie.

Début septembre dernier, Doctor Web a publié une étude sur la porte dérobée Android.Pandora.2, qui ciblait principalement les utilisateurs hispanophones. Des incidents massifs d'attaques l'impliquant ont été enregistrés en mars 2023. Les premières modifications de ce cheval de Troie ont été ajoutées à la base de données virales Dr.Web en juillet 2017. Le Trojan Android.Pandora.2 et ses différentes modifications infectent les téléviseurs intelligents et les décodeurs avec Android TV en les attaquant via des versions compromises de micrologiciels, ainsi que lors de l'installation de chevaux de Troie via des programmes de visualisation illégale de vidéos en ligne. Des exemples de sites qui distribuent ces portes dérobées sont présentés ci-dessous :

Le cheval de Troie crée un botnet à partir d'appareils infectés et est capable d'effectuer des attaques DDoS de différents types sur commande. Il peut également effectuer un certain nombre d'autres actions, telles que l'installation de ses propres mises à jour et le remplacement du fichier système hosts. Une étude réalisée par des analystes de Doctor Web a montré que lors de la création de ce cheval de Troie, ses auteurs ont profité de l'expérience des auteurs de Linux.Mirai, en prenant une partie de son code comme base. À son tour, Linux.Mirai est largement utilisé depuis 2016 pour infecter les appareils de l'Internet des objets (IoT) et mener des attaques DDoS sur divers sites Web.

Au cours du même mois, les analystes de virus Doctor Web ont signalé des cas de distribution de chevaux de Troie espions multifonctionnels Android.Spy.Lydia, ciblant les utilisateurs iraniens. Les représentants de cette famille se déguisent en plateforme financière pour le trading en ligne et sont capables d'effectuer diverses actions malveillantes. Par exemple, intercepter et envoyer des SMS, collecter des informations sur les contacts, voler le contenu du presse-papiers, télécharger des sites de phishing, etc. Les chevaux de Troie Android.Spy.Lydia peuvent être utilisés dans toutes sortes de stratagèmes frauduleux, notamment, pour voler des données personnelles et de l'argent.

Fin septembre, notre société a mis en garde contre l'augmentation des cas de fraude utilisant des programmes d'administration à distance d'appareils mobiles, à l'aide desquels les attaquants pouvaient prendre le contrôle total des appareils Android. Faisant semblant de faire partie du service support de certains établissements de crédit, les cybercriminels signalaient des « activités suspectes » sur leurs comptes bancaires aux victimes potentielles et proposaient de trouver et de télécharger une « application de support bancaire » sur Google Play. En fait, ce programme était un outil d'accès à distance au bureau, le plus souvent RustDesk Remote Desktop. Après avoir bloqué cet utilitaire sur Google Play, les attaquants ont commencé à le distribuer via des sites frauduleux. Dans certains cas, pour plus de persuasion, ils modifiaient le programme en remplaçant son nom et son icône par ceux d'une banque en particulier. Ces versions de cheval de Troie sont détectées comme Android.FakeApp.1426.

Dans le même temps, en 2023, les analystes de Doctor Web ont continué à identifier des sites malveillants à travers lesquels les cybercriminels distribuaient de fausses applications de portefeuille crypto pour les appareils Android et iOS afin de voler de la crypto-monnaie.

Statistiques

En 2023, les logiciels malveillants sont redevenus la menace Android la plus courante, représentant 86,7 % du nombre total de détections par l'antivirus Dr.Web. Les applications publicitaires sont à la deuxième place avec une part de 5,8%. A la troisième place selon leur propagation, viennent les programmes potentiellement dangereux, qui ont été détectés sur les appareils protégés dans 5,7% des cas.

La répartition des menaces par type basée sur les statistiques de détection de Dr.Web pour les appareils mobiles Android est indiquée dans le diagramme suivant :

Applications malveillantes

Les applications Android malveillantes les plus courantes sont, en 2023, les chevaux de Troie publicitaires de la famille Android.HiddenAds. Par rapport à 2022, leur part dans le volume total de programmes malveillants détectés par Dr.Web a augmenté de 4,7 points de pourcentage et s'élevait à 31,6 %.

Le représentant le plus actif de la famille est Android.HiddenAds.3697 ― il a été détecté sur des appareils protégés dans 10,7 % des cas. Diverses variantes de ce programme malveillant sont leaders dans le nombre de détections depuis plusieurs années. Par exemple, en 2021, la modification Android.HiddenAds.1994 a été largement diffusée, tandis qu'en 2022, la modification la plus courante était Android.HiddenAds.3018. A part Android.HiddenAds.3697, en 2023, nos experts ont identifié un certain nombre d'autres versions de ce cheval de Troie. Parmi elles, Android.HiddenAds.3697, Android.HiddenAds.3831, Android.HiddenAds.3851 et Android.HiddenAds.3956. Il est possible qu'au fil du temps, l'une d'entre elle puisse également prendre une position de leader.

Les chevaux de Troie dotés d'une fonction d'espionnage de la famille Android.Spy sont restés relativement actifs, même si, par rapport à 2022, leur part dans le volume total de programmes malveillants détectés par Dr.Web a diminué de 14 points de pourcentage et s'élevait à 28,2 %. Le Trojan Android.Spy.5106 a été le plus actif d'entre eux, il représentait 20,8 % de toutes les détections de logiciels malveillants. Et en tenant compte des versions antérieures du cheval de Troie - Android.Spy.4498 et Android.Spy.4837, sa part était de 24,3% - près d'un quart des cas de détection.

En troisième position se trouvent les chevaux de Troie publicitaires de la famille Android.MobiDash. Par rapport à l'année précédente, leur part dans le volume total de détections de logiciels malveillants a augmenté de 5,2 points de pourcentage pour atteindre 10 %.

En 2023, l'activité des applications malveillantes conçues pour télécharger et installer d'autres programmes, ainsi que l'activité de celles capables d'exécuter du code arbitraire, a continué de diminuer, notamment celle des Trojans Android.DownLoader, Android.Triada et Android.RemoteCode, Android.Mobifun et Android.Xiny.

Dans le même temps, le nombre d'attaques utilisant les logiciels malveillants contrefaits Android.FakeApp, que les attaquants exploitent dans divers stratagèmes frauduleux, a augmenté.

En 2023, l'activité des rançongiciels Android.Locker a diminué. Dans le même temps, il y a eu une augmentation du nombre de détection des programmes malveillants de divers types protégés par des packers Android.Packed. Le nombre de leurs détections a augmenté de 5,2% pour atteindre 7,9%.

Les dix applications malveillantes les plus fréquemment détectées en 2023 sont présentées dans l'illustration ci-dessous :

Android.Spy.5106
Android.Spy.4498: Détection de diverses variantes du cheval de Troie, qui sont des versions modifiées de fausses applications WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.HiddenAds.3697
Android.HiddenAds.3558
Android.HiddenAds.3831
Android.HiddenAds.3597: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Packed.57083: Applications Android protégées par l'outil de compression ApkProtector. Parmi elles, des chevaux de Troie bancaires, des logiciels espions et d'autres logiciels malveillants.
Android.MobiDash.7783
Android.MobiDash.7802: Trojans qui affichent des publicités intempestives. Ils représentent un module que des développeurs de logiciels intègrent à des applications.
Android.Pandora.7: Détection des applications malveillantes qui téléchargent et installent le cheval de Troie - porte dérobée Android.Pandora.2. Les attaquants intègrent souvent de tels chargeurs d'amorçage dans des applications de télévision intelligente destinées aux utilisateurs hispanophones.

Logiciels indésirables

Le programme indésirable le plus courant en 2023 Program.FakeMoney, représentait 29,9 % des détections, soit près d'un tiers du nombre total des détections de menaces de ce type. Il appartient à une famille d'applications qui proposent aux utilisateurs de gagner de l'argent en effectuant diverses tâches.

Le leader en 2022, Program.FakeAntiVirus, a chuté à la deuxième place avec une part de 19,4% des détections. Cette application simule le fonctionnement des logiciels antivirus, détecte des menaces inexistantes et propose aux propriétaires d'appareils Android d'acheter sa version complète pour « résoudre » les problèmes prétendument identifiés.

En troisième position avec une part de 9,4%, on voit les programmes qui sont modifiés via le service cloud CloudInject. L'antivirus Dr.Web détecte ces applications comme Program.CloudInject.1. Lors du processus de modification, des autorisations dangereuses et un code obscurci leur sont ajoutés, l'objectif de ce code ne peut être contrôlé.

Comme l'année précédente, en 2023, les utilisateurs ont souvent rencontré des programmes qui permettaient de surveiller leurs actions et de collecter diverses informations à leur sujet. Les attaquants peuvent utiliser ces applications pour espionner illégalement les propriétaires d'appareils Android. Les plus souvent, sur les appareils protégés par Dr.Web, les programmes malveillants suivants ont été détectés : Program.SecretVideoRecorder.1.origin, Program.wSpy.1.origin, Program.SecretVideoRecorder.2.origin, Program.wSpy.3.origin, Program.SnoopPhone.1.origin, Program.Reptilicus.8.origin et Program.WapSniff.1.origin.

Les dix applications malveillantes les plus fréquemment détectées en 2023 sont présentées dans l'illustration ci-dessous :

Program.FakeMoney.7
Program.FakeMoney.8
Program.FakeMoney.3: Détection d'applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Program.wSpy.1.origin
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.SnoopPhone.1.origin: Application conçue pour surveiller les propriétaires d'appareils Android. Cette appli permet de lire les SMS, de recevoir des informations sur les appels téléphoniques, de suivre les coordonnées et d'effectuer un enregistrement audio de l'environnement.

Programmes potentiellement dangereux

En 2023, les programmes potentiellement dangereux les plus fréquemment détectés sont à nouveau les utilitaires Tool.SilentInstaller, qui permettent d'exécuter des applications Android sans les installer. Ils ne sont pas malveillants, mais les attaquants peuvent les utiliser pour lancer des logiciels malveillants. Ils représentent 48,8 % ou près de la moitié des détections d'applications potentiellement dangereuses. Dans le même temps, par rapport à 2022, leur part a diminué de 17,9 points de pourcentage. Les deuxièmes plus courants sont les représentants de la famille d'utilitaires Tool.LuckyPatcher. Ces utilitaires permettent de modifier les programmes Android avec l'ajout de scripts téléchargés sur Internet. Ces outils représentent 14% des cas de détection de logiciels potentiellement dangereux. En troisième position se trouvent les programmes protégés par le packer Tool.ApkProtector, le nombre de leurs détections a augmenté de 5,3% à 10%.

Dans le même temps, le nombre de détections d'applications protégées par d'autres familles de packers a également augmenté. Ainsi, la part des membres de la famille Tool.Packer est passée de 3,5 % à 4,7 %.

Un autre logiciel potentiellement dangereux très courant est l'utilitaire NP Manager. Il est conçu pour modifier les applications Android et contourner la vérification de la signature numérique à l'aide du module intégré. Dr.Web détecte les programmes modifiés de cette manière comme Tool.NPMod. La part de ces applications était de 4,8 %.

Les programmes modifiés à l'aide de l'utilitaire Tool.Obfuscapk ont été détectés moins souvent sur les appareils protégés- leur part est passée de 5% à 3,2 % par rapport à 2022.

Les dix applications potentiellement dangereuses les plus courantes trouvées sur les appareils Android en 2023 sont présentées dans l'illustration ci-dessous.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.17.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ils créent un environnement virtuel, qui n'a pas d'impact sur l'OS.
Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi que les correctifs créés peuvent constituer un danger potentiel.
Tool.ApkProtector.16.origin
Tool.ApkProtector.10.origin: Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.
Tool.NPMod.1: Applications Android modifiées à l'aide de l'utilitaire NP Manager. Un module spécialisé est intégré à ces programmes pour contourner la vérification de la signature numérique après leur modification.
Tool.Packer.3.origin: Programmes Android dont le code est chiffré et obscurci par l'utilitaire NP Manager.
Tool.Obfuscapk.1: Applications protégées par l'utilitaire obfuscateur Obfuscapk. Cet utilitaire permet de modifier automatiquement le code source des applications Android afin de l'obscurcir et d'empêcher leur reverse engineering. Les pirates l'utilisent pour protéger leurs logiciels malveillants et d'autres programmes indésirables de la détection par les antivirus.

Applications publicitaires

Le logiciel publicitaire le plus populaire en 2023 appartient à la famille de malwares Adware.Adpush, qui peuvent être intégrés à des applications Android. Ils représentaient plus d'un tiers des détections (35,8 %) (Par rapport à 2022, leur part a diminué de 24,8 points de pourcentage). Les représentants de la nouvelle famille Adware.MagicPush occupaient la deuxième place avec une part de 9,5%. Les modules Adware.Airpush occupent la troisième place avec un indicateur de 8,5% (la part a augmenté de 3,2 points de pourcentage).

Parmi les leaders, on voit les représentants des familles Adware.ShareInstall, Adware.Fictus, Adware.Leadbolt, Adware.Jiubang et Adware.Youmi.

Dans le même temps, les modules Adware.SspSdk, qui se classaient au deuxième rang un an plus tôt, ne figuraient même pas dans le top dix des familles les plus courantes en 2023.

Les dix applications publicitaires les plus courantes trouvées sur les appareils Android en 2023 sont présentées dans l'illustration ci-dessous.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.MagicPush.1
Adware.MagicPush.3: Modules publicitaires intégrés à des applis Android. Ils affichent des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lorsque l'utilisateur ouvre le programme, une publicité s'affiche.
Adware.Fictus.1
Adware.Fictus.1.origin: Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.
Adware.AdPush.36.origin
Adware.AdPush.39.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin
Adware.Airpush.24.origin: Modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.
Adware.Jiubang.2: Module publicitaire intégré dans des programmes Android. Il affiche des bannières publicitaires par-dessus les fenêtres d'autres applications.

Menaces sur Google Play

En 2023, le laboratoire de Doctor Web a détecté plus de 440 applications malveillantes dans le catalogue Google Play, qui ont été téléchargées au total au moins 428 434 576 fois. A part de nombreux programmes contenant le module intégré Android.Spy.SpinOk décrit dans l'une des sections précédentes de ce rapport, nos experts ont identifié des centaines de chevaux de Troie de la famille Android.FakeApp. Utilisées par les cybercriminels dans la mise en œuvre de divers stratagèmes frauduleux, ces applications malveillantes ont été distribuées sous le couvert d'une grande variété de logiciels. Dans certaines conditions, ils pouvaient en effet fournir les fonctionnalités promises, mais leur tâche principale était de charger les sites cibles sur commande d'un serveur distant.

Les pirates ont fait passer beaucoup de ces chevaux de Troie pour des programmes financiers - des tutoriels et des livres de référence, des programmes de comptabilité à domicile, des outils pour accéder à des informations d'échange et de trading, des applications pour répondre à des enquêtes spécialisées, etc.

De tels programmes contrefaits peuvent télécharger des sites frauduleux sur lesquels des victimes potentielles se voient proposer de gagner de l'argent sur des investissements, d'échanger des crypto-monnaies pour le compte de sociétés bien connues, et dans certains cas même de recevoir « en cadeau » des actions de sociétés ou certaines aides sociales. Pour « accéder » à un service particulier, les utilisateurs doivent d'abord répondre à plusieurs questions, puis fournir des données personnelles.

Vous trouverez ci-dessous des exemples de sites Web frauduleux téléchargés par ces chevaux de Troie. Dans le premier cas, les attaquants proposent aux utilisateurs l'accès à une plateforme d'investissement prétendument liée à une grande société pétrolière et gazière russe. Dans le deuxième cas, les fraudeurs proposent, au nom de la Banque centrale de la Fédération de Russie, de « commencer à gagner sur le rouble numérique ».

Certains des logiciels contrefaits ont été distribués sous le couvert de jeux - ils pouvaient télécharger des sites Web de casinos en ligne et de bookmakers.

Exemples de la façon dont ces applications de chevaux de Troie fonctionnent en tant que jeux :

Exemples de sites de casino en ligne qu'ils téléchargent :

D'autres Trojans Android.FakeApp ont été distribués sous couvert de programmes liés au sport, y compris le logiciel officiel des bookmakers légaux, toutes sortes de livres de référence pour divers sports, des applications avec des informations sur les matchs, des programmes de lecture d'actualités sportives, etc. :

Ils peuvent fonctionner à la fois comme des logiciels inoffensifs (en même temps, leur fonctionnalité peut différer de celle déclarée) et télécharger diverses ressources Internet.

Vous trouverez ci-dessous des exemples de ces chevaux de Troie fonctionnant comme des applications inoffensives : deux d'entre eux ont été lancés comme des jeux, et le troisième affiche un tableau contenant des informations sur des matchs de football.

Les mêmes programmes ont ultérieurement commencé à charger des sites proposant d'utiliser des services de bookmakers :

Certaines fausses applications ont été installées par des utilisateurs pensant qu'il s'agissait de programmes de recherche d'emploi :

Des variantes similaires des Trojans Android.FakeApp affichent aux victimes potentielles de fausses offres d'emploi téléchargées à partir de sites frauduleux. Lorsque les utilisateurs tentent de répondre à l'une des « annonces », on leur demande de contacter l '« employeur » par le biais de messageries — par exemple, WhatsApp ou Telegram, ou de fournir des données personnelles sous une forme spécialisée — prétendument pour rédiger et envoyer un CV.

Parallèlement, les thèmes du malware Android.FakeApp ont continué à se développer en 2023, avec, par exemple, la création d’une appli pour recevoir « une consultation gratuite avec un avocat ».

Un exemple de site « d'aide juridique » via lequel les victimes peuvent prétendument consulter un avocat et avoir la chance de récupérer de l'argent perdu :

En 2023, le laboratoire de Doctor Web a également détecté un certain nombre d'autres programmes malveillants sur Google Play. Parmi eux, des chevaux de Troie de la nouvelle famille Android.Proxy.4gproxy, qui transforment les appareils infectés en serveurs proxy et transmettent discrètement du trafic tiers. L'utilitaire 4gproxy (détecté par Dr.Web comme Tool.4gproxy) est intégré à ces applications malveillantes et permet d'utiliser des appareils Android comme serveurs proxy. En soi, il n'est pas nocif et peut être utilisé à des fins inoffensives. Cependant, dans le cas de ces chevaux de Troie Android.Proxy.4gproxy, l'utilisation de tels proxy est effectuée à l'insu de l'utilisateur.

Nos analystes ont détecté plusieurs nouveaux Trojans publicitaires de la famille Android.HiddenAds ― Android.HiddenAds.3785, Android.HiddenAds.3781, Android.HiddenAds.3786 et Android.HiddenAds.3787. Après l'installation sur les appareils Android, ils tentent de se masquer en remplaçant leurs icônes sur l'écran d'accueil par une version transparente et en remplaçant leurs noms par des noms vides. Dans le même temps, ils peuvent également se faire passer pour le navigateur Google Chrome en utilisant une copie de son icône pour remplacer la leur. Lorsque l’utilisateur clique sur l’icône modifiée, le navigateur se lance et les chevaux de Troie continuent à fonctionner en arrière-plan. Ainsi, ils parviennent à réduire leur visibilité, mais ont également une plus grande chance d'activité à long terme : si pour une raison quelconque leur fonctionnement s'arrête, les utilisateurs peuvent les redémarrer, pensant qu'ils lancent le navigateur. Des fonctionnalités similaires ont été trouvées, par exemple, dans le Trojan Android.HiddenAds.3766, qui a également été distribué via Google Play.

Une autre menace identifiée est le Trojan-spyware Android.Spy.1092.origin créé sur la base de l'utilitaire de contrôle à distance (RAT) AhMyth Android Rat. Le Trojan a été distribué sous le couvert de l'application Sim Analyst, grâce à laquelle les utilisateurs pakistanais peuvent trouver des informations sur d'autres abonnés d'après leurs numéros de téléphone.

La version standard de l'utilitaire espion AhMyth Android Rat offre des fonctionnalités étendues. Par exemple, elle permet de suivre l'emplacement de l'appareil, de prendre des photos avec la caméra embarquée et d'enregistrer l'environnement à l'aide du microphone intégré, d'intercepter des SMS et également de recevoir des informations sur les appels et les contacts dans le répertoire téléphonique. Cependant, comme les applications distribuées via Google Play ont un accès limité à un certain nombre de fonctions sensibles, cette version de l'espion détectée par nos analystes possède des capacités plus modestes. La version peut suivre l'emplacement de l'appareil, voler le contenu des notifications, divers fichiers multimédias, tels que des photos et des vidéos, ainsi que des fichiers transférés via des messageries instantanées et stockés localement sur l'appareil.

De plus, nos spécialistes ont trouvé sur Google Play le cheval de Troie Android.CoinSteal conçu pour voler des crypto-monnaies. Les attaquants ont tenté de le faire passer pour une application officielle d'échange de crypto-monnaies P2B, P2B, ils l'ont diffusé sous un nom similaire — P2B Trade : Realize The P2Pb2b.

Dans l'image de gauche — la page du faux programme, à droite — l'original.

La fausse appli a été promue par des cryptobloggers, à la suite de quoi le nombre de ses installations s'est avéré être deux fois plus important que celui de l'original.

Au lancement, Android.CoinSteal.105 ouvre le site du système de distribution de trafic indiqué par les attaquants dans WebView, à partir duquel une chaîne de redirections vers d'autres ressources est exécutée. Par exemple, il télécharge le site officiel de l'échange cryptographique P2B, https://p2pb2b.com. Le Trojan y introduit des scripts JS, à l’aide desquels il remplace les adresses des portefeuilles cryptographiques saisies par les utilisateurs pour retirer des crypto-monnaies. Dans le même temps, d'autres sites Web peuvent potentiellement être ciblés, sites frauduleux, sites avec de la publicité, etc.

De nouveaux chevaux de Troie figurent parmi les menaces détectées par le laboratoire antivirus de Doctor Web sur Google Play, il s'agit des Trojans de la famille Android.Subscription — Android.Subscription.19, Android.Subscription.20 et Android.Subscription.21. Ils ont été distribués sous le couvert de programmes inoffensifs et de sites de services partenaires téléchargés pour abonner les propriétaires d'appareils Android à des services payants. Ces chevaux de Troie activent le service eux-mêmes ou proposent aux victimes potentielles de saisir un numéro de téléphone mobile.

Exemples de sites téléchargés par ces applications malveillantes pour connecter des services payants :

D’autres applications de ce type ont été détectées, dont plus de 20 chevaux de Troie des familles Android.Joker et Android.Harly. Parmi eux, Android.Joker.1991, Android.Joker.2000, Android.Joker.2117, Android.Joker.2152, Android.Joker.2176, Android.Joker.2217, Android.Harly.13, Android.Harly.25, Android.Harly.66, Android.Harly.80 et d'autres.

Trojans bancaires

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, le nombre de chevaux de Troie bancaires détectés en 2023 a diminué de 46,9% par rapport à l'année précédente. Dans le même temps, leur part dans le nombre total de programmes malveillants détectés sur les appareils protégés était de 3,5%, soit une légère diminution par rapport à l’année précédente. Le pic d’activité de chevaux de Troie bancaires a eu lieu au premier semestre de 2023 avec un nombre maximum de détections en janvier. Après une forte baisse en février, leur activité a recommencé à croître, atteignant un pic local en avril. Après une nouvelle baisse du nombre d'attaques en mai, le nombre de chevaux de Troie bancaires détectés est resté à peu près au même niveau jusqu'à la fin de l'année.

Les chevaux de Troie bancaires les plus populaires utilisés par les cybercriminels l'année précédente sont restés actifs tout au long de l'année 2023. Les attaques utilisant les familles Anubis (Android.BankBot.670.origin, Android.BankBot.794.origin, Android.BankBot.967.origin), Coper, S.O.V.A ont été enregistrées. (Android.BankBot.992.origin), Hydra (Android.BankBot.1048.origin), Ermac (Android.BankBot.970.origin, Android.BankBot.1037.origin) et Alien (Android.BankBot.745.origin, Android.BankBot.873.origin, Android.BankBot.1078.origin). Les pirates ont également diffusé les programmes malveillants Cerberus (Android.BankBot.8705, Android.BankBot.1052.origin), Sharkbot (Android.BankBot.977.origin) et GodFather (Android.BankBot.1064.origin, Android.BankBot.1077.origin).

En Amérique latine, les chevaux de Troie bancaires Banbra (Android.BankBot.1073.origin) ont été propagés, les utilisateurs brésiliens ont rencontré la famille PixPirate (Android.BankBot.1026.origin).

La famille très répandue MoqHao (Android.Banker.5063, Android.Banker.487.origin, Android.Banker.533.origin, Android.Banker.657.origin), dont la géographie des attaques couvre de nombreux pays, a été activement utilisée contre les utilisateurs Android d'Asie du Sud-Est et de la région Asie-Pacifique. Dans le même temps, les utilisateurs sud-coréens ont également rencontré divers représentants des familles Fakecalls (Android.BankBot.761.origin, Android.BankBot.919.origin, Android.BankBot.1002.origin) et Wroba (Android.Banker.360.origin). La famille Wroba (Android.BankBot.907.origin) a également été utilisée pour attaquer les résidents du Japon. Et les propriétaires d'appareils Android en Chine ont été attaqués par le Trojan Android.Banker.480.origin.

Dans le même temps, nos experts ont observé de nouvelles tendances dans les attaques de chevaux de Troie bancaires. L'une des plus notables a été l'émergence de nouvelles familles, dont beaucoup s'adressaient à des utilisateurs russes. Ces applications malveillantes comprenaient Android.Banker.5127 et Android.Banker.5273, , crées à l'aide du programme planificateur d'événements Tasker, Android.Banker.597.origin, Android.Banker.592.origin et Android.Banker.5235, déguisés en différents services, notamment, KoronaPay, Дайвинчик 18+, Yandex, Ростелеком et OnlyFans, ainsi qu'un certain nombre d'autres Trojans.

Les attaques ayant ciblé les utilisateurs russes ont également utilisé Android.Banker.637.origin, Android.Banker.632.origin, Android.Banker.633.origin et Android.Banker.635.origin — ils ont été diffusés par les pirates sous le couvert de différents programmes, notamment des services de streaming (en particulier STAR), des programmes de la catégorie « pour adultes », des modifications du client Android officiel du réseau social VKontakte (mods VK), des programmes thématiques sur la série « The Word of a Boy », Blood on Asphalt », qui en 2023 a gagné en popularité en Russie et dans les pays de l'ex-URSS, etc.

De plus, les Trojans bancaires suivants ont été propagés en Russie : Android.BankBot.1062.origin, Android.BankBot.1093.origin et Android.BankBot.1098.origin, qui ont par la suite élargi la géographie des attaques contre les utilisateurs d'Ouzbékistan.

Les analystes de Doctor Web ont noté l'émergence d'un grand nombre de chevaux de Troie bancaires ciblant les utilisateurs iraniens. Parmi eux Android.BankBot.1088.origin, Android.BankBot.14871, Android.BankBot.1083.origin, Android.Banker.5292, Android.Banker.5233, Android.Banker.5276 et Android.Banker.5379. Ainsi que les malwares Android Tambir (Android.BankBot.1099.origin), ciblant la Turquie.

Une activité notable a également été observée à partir des chevaux de Troie bancaires de la famille Rewardsteal (Android.Banker.562.origin, Android.Banker.5138, Android.Banker.5141, Android.Banker.588.origin, Android.Banker.611.origin). Parmi eux, les modifications les plus courantes étaient destinées aux utilisateurs des établissements de crédit ICICI Bank, HDFC Bank, SBI, Axis bank, Citi bank, RBL bank.

Perspectives et tendances

La principale motivation des cybercriminels restant le gain matériel, nous devrions nous attendre en 2024 à l'émergence de nouveaux programmes malveillants qui les aident à augmenter leurs revenus illégalement, notamment de nouveaux chevaux de Troie publicitaires et bancaires, des applications frauduleuses et des logiciels espions.

Comme chaque année, Google Play reste une source de diffusion de malwares et il faut s’attendre à trouver de nouveaux malwares publiés sous couvert d’applications inoffensives sur ce catalogue.

Avec une forte probabilité, nous devrions nous attendre à l'émergence de nouveaux chevaux de Troie visant à voler des crypto-monnaies aux propriétaires d'appareils Android et d'appareils fonctionnant sous iOS.

Pour vous protéger des attaques et protéger votre argent et vos données sensibles, installez l'antivirus Dr.Web sur vos appareils. Les équipes de Doctor Web continuent à mettre tout en œuvre pour effectuer une veille quotidienne et informer les utilisateurs des risques.

Indicateurs de compromission