Le 30 août 2018

Les analystes de Doctor Web ont détecté des dizaines d'applications malveillantes utilisées par les criminels pour obtenir des gains illicites. Les auteurs de ces malwares les font passer pour des applications utiles ou populaires et les utilisent dans leurs schémas frauduleux. De plus, beaucoup entre eux peuvent être potentiellement utilisés pour diffuser d'autres Trojans.

L’un des logiciels malveillants, qui a reçu le nom Android.Click.265.origin est utilisé par les malfaiteurs pour abonner les utilisateurs à des services mobiles onéreux. C’est un type de fraude réseau assez connu depuis de nombreuses années. Android.Click.265.origin est déguisé en une application officielle pour la communication avec la boutique en ligne du détaillant « Eldorado ». Les analystes de Doctor Web ont enregistré deux cas de pénétration du Trojan sur Google Play, au moment de cette publication, les deux modifications sont supprimées du catalogue des applications Android.

Android.Click.265.origin avait vraiment les fonctionnalités déclarées par ses auteurs : il téléchargeait, dans sa fenêtre, une version mobile de la boutique Eldorado et permettait d'utiliser pleinement toutes les fonctions de la boutique. Cependant, à part cela, il exécutait des actions moins désirables. Le Trojan affichait des publicités intempestives, ouvrait les pages de services mobiles onéreux et cliquait automatiquement sur les boutons destinés à confirmer l’abonnement à ces services. Par la suite, une certaine somme d'argent était prélevée tous les jours sur le compte de la victime.

Android.Click.248.origin - un autre cheval de Troie utilisé pour abonner les utilisateurs à des services premium. Ce programme malveillant connu des analystes de Doctor Web depuis le mois d'avril a été de nouveau diffusé via Google Play en août. Comme auparavant, les auteurs tentaient de faire passer Android.Click.248.origin pour un logiciel connu, comme par exemple, une application " Ula" ou une appli liée à la boutique AliExpress, ou bien comme l'assistant vocale Alissa de la société Yandex.

ЭCe Trojan ouvre un site de phishing où les visiteurs sont invités à télécharger des applications ou informés sur un " prix " soi-disant " gagné ". Il est demandé au visiteur de communiquer son numéro de mobile, prétendument nécessaire pour recevoir un code de vérification. Tandis qu'en réalité, ce code est utilisé pour confirmer un abonnement à un service payant qui prévoit des prélèvements quotidiens. Si un appareil mobile est connecté à Internet via une connexion mobile, une fois le numéro de téléphone saisi, le propriétaire est abonné à un service premium de manière automatique. L'illustration ci-dessous montre des exemples de pages frauduleuses téléchargées par Android.Click.248.origin :

De plus, parmi les programmes malveillants détectés au mois d'août et diffusés via Google Play, on voit beaucoup d'autres modifications des Trojans de la famille Android.Click. Les représentants de cette famille examinés par nos experts se font passer pour des applications officielles de bookmaker telles que « Olympus », « Mostbet », « Fonbet », « League of legends », 1xBet, Winline et d'autres. Au total, les experts de Doctor Web ont détecté 127 logiciels malveillants propagés par 44 développeurs. La société Google supprime rapidement ces applis de Google Play mais les escrocs continuent de les ajouter au catalogue presque tous les jours.

Après leur lancement, ces Trojans se connectent à un serveur de contrôle et reçoivent la commande de télécharger un site particulier à afficher à l'utilisateur. Actuellement, ces programmes malveillants ouvrent les pages officielles de bookmakers, et le nom de l'application n'a aucune relation avec le site téléchargé. De plus, à tout moment, le serveur de contrôle peut donner l’ordre de télécharger n'importe quelle ressource web y compris des portails frauduleux ou des sites ayant un contenu malveillant depuis lesquels d'autres programmes malveillants peuvent être téléchargés vers l’appareil Android. C’est pourquoi ces Trojans représentent un grave danger.

Enfin, un autre Trojan détecté au mois d'août se cachait dans l'application nommée " Sondage ". Il a été ajouté à la base de données virales comme Android.FakeApp.110. Ses auteurs promettent aux utilisateurs de l'argent pour leur participation à des sondages simples qui "ne prennent que quelques instants."

A son démarrage, Android.FakeApp.110 télécharge un site appartenant aux pirates sur lequel la victime est invitée à répondre à quelques questions très simples pour participer à une étude marketing. Par exemple, les utilisateurs pouvaient être questionnés sur leurs marques de voiture ou leurs parfums préférés.

Des dizaines voire des centaines de milliers de roubles ont été promis à ceux qui répondraient à un questionnaire. La victime était avertie que les versements seraient effectués en plusieurs fois et avec un certain délai en raison des limites des systèmes de paiement. Et pour recevoir rapidement son gain, la victime devait tout simplement effectuer un petit paiement d'identification de quelques 100 ou 200 roubles, uniquement pour confirmer l'identité du " chanceux ". C’est le sens de la fraude : une victime donne volontairement son argent aux escrocs en attendant une prime promise tandis qu'en réalité elle ne la verra jamais. Les experts de Doctor Web ont signalé cette application malveillante à Google, à l'heure actuelle, l'application n'est plus disponible en téléchargement.

Doctor Web rappelle qu'il faut être très prudent lors de l'installation d’applications même depuis Google Play. Il faut prêter attention au nom du développeur et à la date de publication de l'application qui vous intéresse, ainsi que prendre en compte les avis d'autres utilisateurs. Ces mesures simples peuvent aider à réduire le risque d'infection des Smartphones et tablettes. De plus, pour protéger leurs appareils Android, les utilisateurs peuvent installer les produits antivirus Dr.Web pour Android qui détectent et éradiquent tous les programmes malveillants et indésirables connus.

Plus d'information sur Android.Click.265origin

Plus d'information sur Android.Click.248.origin

Plus d'information sur Android.FakeApp.110

#Android, #fraude, #Google Play, #Trojan