Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Vos requêtes

  • Toutes :
  • Non clôturées :
  • Dernière : le -

Nous téléphoner

+7 (495) 789-45-86

Profil

Retour aux actualités

Doctor Web : Un Trojan ciblant Android et géré via Telegram espionne les utilisateurs iraniens

Le 19 juin 2017

Les analystes de Doctor Web ont détecté un Trojan ciblant Android géré par les pirates à l'aide de l’application Télégram. Le programme malveillant vole des informations confidentielles et exécute les commandes des malfaiteurs.

Le Trojan nommé Android.Spy.377.origin est un utilitaire d’administration à distance (Remote Administration Tool, ou RAT), qui est diffusé sous le couvert d’applications inoffensives et cibles les utilisateurs en Iran. L'utilitaire peut être installé sur les Smartphones et tablettes comme un programme nommé " اینستا پلاس " (" Insta Plus "), " پروفایل چکر " (" Profile Checker ") et " Cleaner Pro".

screenshot Android.Spy.377.origin #drweb

Lors de son lancement, le cheval de Troie propose au propriétaire de l’appareil mobile de vérifier sa popularité parmi d'autres utilisateurs de Telegram et pour ce faire, lui demande d'installer un identificateur personnel. Dès que la victime saisit une information dans le champ correspondant, Android.Spy.377.origin affiche "le nombre de visiteurs" de son profil. Cependant, aucune vérification n'est effectuée en réalité par le Trojan. Il ne fait que générer un nombre aléatoire à afficher comme le résultat. Cette fonction est conçue donner l’impression qu’il n’est pas dangereux. Quelque temps après son lancement, Android.Spy.377.origin supprime son icône de la liste des applications dans le menu de l’écran d'accueil de l’appareil et tente de masquer sa présence dans le système.

screenshot Android.Spy.377.origin #drweb

Android.Spy.377.origin est un programme d’espionnage classique capable d’exécuter les commandes des pirates à distance. La différence principale entre cette application malveillante et d'autres Trojans ciblant Android est que les cybercriminels utilisent la messagerie instantanée Telegram pour gérer ce malware. C'est le premier Trojan de ce type connu des analystes de Doctor Web.

Après avoir supprimé l'icône du programme, Android.Spy.377.origin copie les contacts de l’annuaire téléphonique, les messages SMS entrants et sortants, ainsi que des informations sur le compte Google du propriétaire de l'appareil mobile. Ensuite, il enregistre ces données dans des fichiers texte dans son dossier. De plus, le Trojan tente de faire une photo de l'utilisateur avec la caméra frontale de l'appareil. L'espion télécharge la photo prise et les fichiers contenant des informations volées sur son serveur de contrôle et envoie au Bot Telegram des pirates un signal disant que la contamination de l'appareil a fonctionné.

Vous trouverez ci-dessous des exemples de fichiers qu’ Android.Spy.377.origin transmet aux pirates.

screenshot Android.Spy.377.origin #drweb

Après avoir volé des informations confidentielles, Android.Spy.377.origin se connecte de nouveau au Bot et attend des messages avec des commandes de gestion. Le Trojan peut recevoir les commandes suivantes :

  • call - passer un appel téléphonique,
  • sendmag - envoyer un SMS ,
  • getapps - transmettre au serveur des informations sur les applis installées,
  • getfiles -télécharger sur le serveur des informations sur tous les fichiers disponibles sur l'appareil,
  • getloc - envoyer au serveur les données de géolocalisation de l'appareil,
  • upload - télécharger sur le serveur un fichier particulier stocké sur l'appareil et indiqué dans la commande,
  • removeA - supprimer de l'appareil le fichier indiqué dans la commande,
  • removeB - supprimer un groupe de fichiers de l'appareil,
  • lstmsg - transmettre au serveur un fichier contenant des informations sur tous les SMS envoyés et reçus, y compris les numéros des expéditeurs et destinataires, ainsi que le contenu des messages.

A chaque commande exécutée, le programme malveillant informe le Bot Telegram.

En plus de collecter des données sensibles, Android.Spy.377.origin surveille lui-même tous les SMS entrants et sortants, ainsi que les coordonnées de l’appareil. Lorsque l'utilisateur reçoit ou envoie de nouveaux messages ou qu'il modifie l'emplacement du Smartphone ou de la tablette contaminés, le Trojan transmet les informations correspondantes au Bot Telegram des pirates.

Les spécialistes de Doctor Web avertissent que les auteurs de virus diffusent souvent des applications malveillantes sous le couvert de programmes inoffensifs. Pour se protéger contre les Trojans ciblant Android, il faut installer uniquement des applis provenant de sources de confiance, telles que Google Play, par exemple. Dr.Web pour Android détecte toutes les versions connues de Android.Spy.377.origin, c'est pourquoi cet espion ne représente aucune menace pour nos utilisateurs.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg