Le 5 février 2016

Chaque année, l'architecture des programmes malveillants pour la plate-forme mobile Android devient plus sophistiquée : si les premiers Trojans ciblant ce système d'exploitation n'étaient que des applications plutôt simples, les Trojans d'aujourd'hui sont aussi sophistiqués que ceux conçus pour Windows. En Février 2016, les chercheurs de Doctor Web ont détecté tout un ensemble d'applications malveillantes ayant une très large gamme de fonctionnalités.

Ce jeu de malware comprend trois Trojans qui fonctionnent ensemble et qui ont été nommés respectivement Android.Loki.1.origin, Android.Loki.2.origin et Android.Loki.3 . Le premier de ces Trojans est téléchargé en utilisant la bibliothèque liblokih.so détectée par Dr.Web sous le nom Android.Loki.6. Cette bibliothèque s'intègre à l'un des processus système via le Trojan Android.Loki.3 qui donne à Android.Loki.1.origin la possibilité de fonctionner dans le système avec les privilèges utilisateur. Android.Loki.1.origin est doté d'une large gamme de fonctions : Le Trojan peut notamment télécharger n'importe quelle application sur le catalogue officiel de Google Play en utilisant un lien spécialisé qui pointe vers le compte d'un programme partenaire, permettant aux cybercriminels de gagner de l'argent. Parmi les autres fonctions d'Android.Loki.1.origin :

• l'installation et la suppression d’applications ;
• l'activation ou la désactivation d’applications et de leurs composants ;
• l'arrêt des processus ;
• l'affichage de notifications ;
• l'enregistrement d’applications en tant qu’Accessibility Service (un service qui suit les clics sur l'écran de l'appareil) ;
• la mise à jour de ses composants, ainsi que le chargement de plug-ins sur commande depuis le serveur de contrôle.

Le deuxième programme malveillant faisant partie du jeu détecté par les analystes de Doctor Web - Android.Loki.2.origin - est conçu pour installer des applications sur les appareils contaminés sur commande du serveur de contrôle ainsi que pour afficher de la publicité. A part cela, ce Trojan est doté de fonctions d'espionnage. A son démarrage, il collecte et envoie aux malfaiteurs les informations suivantes :

• identificateur IMEI de l'appareil ;
• identificateur IMSI de l'appareil ;
• adresse MAC de l'appareil contaminé ;
• identificateur MCC (Mobile Country Code) - un code mobile de pays ;
• identificateur MNC (Mobile Network Code) - un code de réseau mobile ;
• version de l'OS sur l'appareil infecté ;
• résolution de l'écran ;
• informations sur la mémoire vive (volume total et libre);
• version du noyau de l'OS ;
• informations sur le modèle de l'appareil ;
• informations sur le fabricant de l'appareil ;
• version du firmware ;
• numéro de série de l'appareil ;

Une fois ces informations envoyées au serveur de commande, le Trojan reçoit en réponse un fichier de configuration contenant les données nécessaires à son fonctionnement. À des intervalles définis, Android.Loki.2.origin consulte le serveur de contrôle pour recevoir des tâches et pendant chaque session, il transmet aux cybercriminels les données suivantes :

• version du fichier de configuration ;
• version du service activé par le Trojan Android.Loki.1.origin ;
• langue du système d'exploitation ;
• pays spécifié dans les paramètres du système d'exploitation ;
• informations sur le compte de l'utilisateur sur Google.

En réponse, Android.Loki.2.origin reçoit une tâche d'installation d'une application (notamment sur Google Play), ou une commande d'afficher de la publicité. En cliquant sur la notification affichée par le Trojan, l'utilisateur peut être redirigé vers un site web ou l'installation d'une application peut être lancée. Également sur commande des cybercriminels, Android.Loki.2.origin transmet au serveur de contrôle les informations suivantes :

• liste des applications installées ;
• historique du navigateur ;
• liste de contacts de l'utilisateur ;
• historique des appels ;
• géolocalisation ;

Enfin, Android.Loki.3 exécute sur l'appareil infecté les deux fonctions suivantes : introduit la bibliothèque liblokih.so dans un processus de service système system_server et permet d'exécuter des commandes en tant que super-utilisateur (root), provenant d'autres Trojans de la famille Android.Loki. En fait, Android.Loki.3 joue le rôle d'un serveur pour exécuter des scripts shell : les cybercriminels transmettent au Trojan le chemin vers le scénario à réaliser et Android.Loki.3 exécute ce script.

Puisque les Trojans de la famille Android.Loki placent une partie de leurs composants dans les dossiers système de l'OS Android auxquels le logiciel antivirus n’a pas accès, le moyen le plus efficace de neutraliser l'infection est de réactualiser le firmware en utilisant l'image originale de l'OS. Avant de procéder à cette opération, il est recommandé de faire un backup de toutes les informations importantes sauvegardées sur le Smartphone ou la tablette contaminés, il est conseillé aux utilisateurs débutants de confier cette procédure à des spécialistes.