le 5 juillet 2017

Les analystes de Doctor Web ont détecté un jeu embarquant un Trojan Downloader sur Google Play. Cette application malveillante peut télécharger, installer et exécuter d’autres logiciels à l'insu de l'utilisateur. Plus d’1 million d’internautes ont déjà téléchargé ce Trojan.

L'application malveillante, appelée Android DownLoader.558.origin est intégrée au jeu BlazBlue. Ce Trojan fait partie d'un ensemble de logiciels spécialisés (SDK, Software Development Kit) portant le nom d’Excelliance et conçu pour automatiser et simplifier la mise à niveau des applis Android.

Contrairement à la procédure de mise à niveau standard qui remplace entièrement une ancienne version par la nouvelle, le SDK en question permet de télécharger les composants requis séparément sans avoir à réinstaller tout le package. Ceci permet aux développeurs de maintenir la version du logiciel installé à jour même si l'utilisateur ne suit pas les mises à jour publiées. Mais la plateforme Excelliance fonctionne comme un Trojan Downloader, car elle est capable de télécharger et exécuter les composants de l’application non vérifiés. Etant dangereuse, cette méthode de mise à jour viole les règles du catalogue Google Play.

Android DownLoader.558.origin se lance au premier démarrage du programme ou du jeu dans lequel il est embarqué. Le Trojan ainsi que les autres éléments de l'appli sont extraits de son catalogue de ressources puis il est déchiffré. Ensuite, il se charge lui-même chaque fois que l'appareil mobile se connecte à Internet, même si l’utilisateur ne lance plus l’application infectée.

Le module de Trojan surveille l'activité réseau et tente de se connecter au serveur de contrôle. En fonction des paramètres du serveur, Android DownLoader.558.origin reçoit en réponse la commande de télécharger un composant de logiciel. Par exemple, pour le jeu BlazBlue, le module invite à télécharger les fichiers manquants ainsi que les mises à jour.

Android.DownLoader.558.origin peut également télécharger des fichiers apk-, dex- и elf-. Dans certains cas, ils peuvent être lancés à l'insu de l'utilisateur. Par exemple, l'exécution du code des fichiers dex- téléchargés se fait automatiquement et ne nécessite aucune action de la part du propriétaire de l'appareil mobile.

Lors de l'installation des fichiers apk- téléchargés, l'utilisateur voit une fenêtre de dialogue standard, mais en cas d'accès root dans le système, Android DownLoader.558.origin peut les installer discrètement et d'une manière complètement cachée. C’est là où réside le danger principal du SDK Excelliance. A tout moment, ses auteurs peuvent envoyer une commande pour télécharger des objets qui n'ont rien à voir avec l'appli en question, par exemple, des modules publicitaires, des logiciels tiers, voire d'autre Trojans pouvant être téléchargés en contournant le catalogue Google Play et lancés sans autorisation.

Les spécialistes de Doctor Web ont averti la société Google sur le comportement dangereux du composant de ce SDK utilisé dans le jeu BlazBlue, cependant au moment de la publication de cette news, sa version comportant Android.DownLoader.558.origin restait encore disponible en téléchargement sur Google Play.

Les applications dans lesquelles ce Trojan est intégré sont détectées comme Android.RemoteCode.81.origin et les produits antivirus Dr.Web pour Android les suppriment, elle ne représentent donc aucun danger pour les utilisateurs de Dr.Web.

Plus d'infos sur ce Trojan