Le 13 mars 2018

Les analystes de Doctor Web ont détecté des Trojans Android diffusés sous couvert d’applications populaires sur Google Play. Ces fausses applications sont capables, sur commande des pirates, de télécharger et d'afficher des pages web, et peuvent donc être utilisées pour des attaques de phishing.

Les programmes détectés portent les noms d’applications connues et des icônes ressemblant aux originaux. Ainsi, les fausses applis porte-feuille Qiwi, Sberbank online, Odnoklassniki, Vkontakte et NTV ont été détectées. L'illustration de gauche montre une appli modifiée que vous pouvez facilement trouver sur Google Play. A droite, vous voyez une page de la vraie application.

A chaque lancement, ces fausses applis se connectent au serveur de contrôle qui leur envoie soit un paramètre " none ", soit un lien vers une page web. Lorsque l'application reçoit le premier paramètre, elle extrait de ses propres ressources quelques images et les affiche à l'utilisateur. Elle n'a pas d'autres fonctions "utiles". Si, en réponse, les applications reçoivent un lien, elles téléchargent la page correspondante et l'affichent à l'utilisateur. La page est ouverte à l'aide de WebView directement dans les applications où le lien vers l'adresse cible n'est pas visible. Dans ce cas, les pages affichées peuvent avoir n'importe quel contenu, dont des faux formulaires utilisés pour se connecter à des comptes de e-banking ou à un réseau social. Puisque une telle fonction représente un danger, les logiciels en question sont répertoriés dans la base virale Dr.Web comme malveillants et sont détectés sous le nom de Android.Click.415.

A part les Trojans décrits ci-dessus, les analystes de Doctor Web ont détecté plus de 70 programmes analogues qui ont été téléchargés par plus de 270000 utilisateurs. Parmi ces applications, on compte des faux jeux, des recueils de recettes ou d'instructions dont certains possèdent des fonctions déclarées. Cependant, tout comme le Trojan Android.Click.415, ils peuvent recevoir du serveur de contrôle des liens vers n'importe quelle ressource web pouvant être plus tard téléchargée et affichée à l'utilisateur. Ces programmes ont également été ajoutés à la base virale Dr.Web et sont détectés sous les noms Android.Click.416 et Android.Click.417. De plus, lors de leur activité, des modifications de ces applications malveillantes affichent des publicités sur l'écran de l'appareil mobile.

Le Trojan a été diffusé au moins par 4 éditeurs. Tezov apps, Aydarapps, Chmstudio et SVNGames. Doctor Web a informé Google Inc. sur toutes les applications malveillants détectées, cependant, à l'heure de cette publication, les applis sont toujours disponibles en téléchargement.

Doctor Web rappelle que lors de l'installation de programmes provenant de sources de confiance, et notamment de Google Play, il faut faire attention au nom de l'éditeur. Les pirates peuvent imiter l'apparence des applications ou utiliser des noms qui ressemblent aux noms originels afin de pousser les victimes potentielles à installer ces faux logiciels qu'ils trouvent facilement sur les catalogues. Les produits antivirus Dr.Web pour Android détectent toutes les modifications connues de Android.Click.415, Android.Click.416 et Android.Click.417,ils ne représentent donc aucun danger pour les utilisateurs Dr.Web.

• Plus d'infos sur le Trojan Android.Click.415
• Plus d'infos sur le Trojan Android.Click.416
• Plus d'infos sur le Trojan Android.Click.417