le 10 novembre 2016

Les analystes de Doctor Web ont détecté un nouveau Trojan sur Google Play. Ce malware, ajouté à la base virale sous le nomAndroid.MulDrop.924, télécharge à l’insu de l’utilisateur des applications et propose de les installer. De plus, il affiche des publicités intempestives.

Android.MulDrop.924 se propage via Google Play sous couvert d'une application portant le nom " Multiple Accounts : 2 Accounts " qui a déjà été téléchargée par plus d’ 1 million d’internautes. Le programme permet d’utiliser plusieurs comptes en une fois dans les jeux et autres logiciels installés sur l'appareil mobile. Cependant, cette application en apparence inoffensive et même utile cache des fonctionnalités malveillantes dont l'éditeur n'a pas informé les victimes potentielles. Doctor Web a transmis à Google Inc. des informations sur ce Trojan mais au moment de la publication de cette news, Android.MulDrop.924 est toujours disponible en téléchargement.

Ce Trojan a une architecture modulaire particulière. Certaines de ses fonctionnalités sont présentes dans deux modules complémentaires chiffrés et cachés à l’intérieur d’images PNG se trouvant dans le dossier contenant les fichiers de fonctionnement d’ Android.MulDrop.924. Lors du lancement, le Trojan extrait et copie ces modules vers son dossier local dans le répertoire /data puis les charge en mémoire.

L'un de ces composants, en plus de ses fonctions inoffensives, contient plusieurs plugins publicitaires utilisés par les auteurs d'Android.MulDrop. 924, notamment le module Trojan Android.DownLoader.451.origin qui télécharge des jeux et des applis sans autorisation de l'utilisateur et qui propose ensuite de les installer. De plus, il affiche des publicités dans la barre de notifications de l'appareil mobile.

En plus de Google Play, Android.MulDrop.924 se propage sur d’autres sites proposant des logiciels et applis pour Android. Une des modifications du Trojan est implantée dans la version plus ancienne de l'application Multiple Accounts : 2 Accounts. Elle est signée avec un certificat différent et, comme le module malveillant Android.DownLoader.451.origin contient le plugin additionnel malveillant , Android.Triada.99, qui télécharge des exploits afin de recevoir les droits root sur l'appareil contaminé et qui peut également télécharger et installer des logiciels à l'insu de l'utilisateur. Le fait qu'un certificat différent soit utilisé peut signifier que la version en question d'Android.MulDrop.924 a été modifiée et diffusée par un autre groupe de pirates qui n'ont rien à voir avec les créateurs de l'application originale.

Les produits antivirus Dr.Web pour Android détectent toutes les modifications du Trojan Android.MulDrop.924 et ses composants malveillants, c'est pourquoi il ne représente aucune menace pour nos utilisateurs.

Protégez votre appareil Android avec Dr.Web !