Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Vos requêtes

  • Toutes :
  • Non clôturées :
  • Dernière : le -

Nous téléphoner

+7 (495) 789-45-86

Profil

Retour aux actualités

Le Trojan détecté par Doctor Web s'intègre au Play Store et y télécharge des programmes de manière discrète sur les appareils qu’il pirate.

Le 18 janvier 2017

Parmi les nombreux Trojans ciblant Android, les programmes malveillants qui téléchargent de façon invisible des logiciels sur les appareils mobiles sont devenus très répandus. Avec leur aide, les malfaiteurs obtiennent des récompenses pour chaque téléchargement réussi ou pour chaque installation d'une application. L'un de ces Trojans détecté par les analystes de Doctor Web s'intègre dans le processus actif du programme Play Store et y fait tourner le compteur d'installation.

Android.Skyfin.1.origin pénètre probablement sur les appareils mobiles à l'aide de certains Trojans de la famille Android.DownLoader (par exemple Android.DownLoader.252.origin et Android.DownLoader.255.origin), qui, après avoir contaminé les Smartphones et tablettes, tentent d'obtenir l'accès root et d’installer d'une manière invisible des programmes malveillants dans le répertoire système. Le code de ces chevaux de Troie contient les chaînes correspondantes à Android.Skyfin.1.origin, il est donc très probable que la prolifération de ce dernier soit due aux applications malveillantes susmentionnées.

Au lancement, Android.Skyfin.1.origin introduit dans le processus du programme Play Store un module de Trojan nommé Android.Skyfin.2.origin. Il vole l’identificateur unique de l’appareil mobile et du compte de son propriétaire qui sont nécessaires lors de l'utilisation des services Google, les différents codes d’authentification permettant de se connecter au catalogue Google Play et d'autres données confidentielles. Ensuite, le module transmet ces informations au composant principal du Trojan Android.Skyfin.1.origin, qui les transmet au serveur de contrôle avec des informations techniques sur l'appareil.

En utilisant les données recueillies, Android.Skyfin.1.origin se connecte au catalogue Google PlayDirectory et imite le fonctionnement d'une application Play Store. Le Trojan peut exécuter les commandes suivantes :

  • /search - recherche dans le catalogue imitant l'activité de l'utilisateur,
  • /purchase - demande pour l’achat de programmes,
  • /commitPurchase – confirmation d'un achat,
  • /acceptTos – confirmation de l'acceptation des termes du contrat de licence,
  • /delivery – demande d'un lien de téléchargement pour un fichier apk du catalogue,
  • /addReview/deleteReview/rateReview - ajout, suppression et estimation des avis d'utilisateurs,
  • /log – confirmation du téléchargement de l'application utilisée pour augmenter la valeur du compteur de téléchargements.

Après avoir téléchargé l'application définie par les pirates, Android.Skyfin.1.origin ne l’installe pas mais l’enregistre sur la carte mémoire, c'est pourquoi l'utilisateur ne s'en aperçoit pas. Ainsi, le Trojan augmente ses chances de rester sur l’appareil sans être détecté et peut continuer à tricher en augmentant artificiellement la popularité de certaines applications sur Google Play.

Les analystes de Doctor Web ont détecté plusieurs modifications d'Android.Skyfin.1.origin. L'une d’elles peut télécharger sur Google Play une seule application : com.op.blinkingcamera. Le Trojan simule un clic sur la bannière Google AdMob qui affiche la publicité de cette application, il télécharge son fichier apk et augmente automatiquement le nombre de ses téléchargements, en confirmant "l'installation" sur le serveur Google. Une autre modification d’Android.Skyfin.1.origin est plus universelle. Elle peut télécharger n'importe quelle application du catalogue si elle se trouve sur la liste des programmes à télécharger envoyée au Trojan par les pirates.

Les produits antivirus Dr.Web pour Android détectent toutes les modifications connues d'Android.Skyfin.1.origin, les utilisateurs peuvent donc vérifier la présence du Trojan sur leurs appareils. Cependant, puisque Android.Skyfin.1.origin s'installe dans le répertoire système, sa suppression nécessite la solution complète Dr.Web Security Space pour Android qui est en mesure, en cas de disponibilité de l'accès root, de lutter contre ce type d'applications malveillantes.

Plus d'infos sur ce ver

Protégez votre appareil Android avec Dr.Web !

Acheter en ligne Acheter via Google Play Gratuit

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg