Doctor Web a analysé un client VPN Android contenant un Trojan Downloader

le 19 octobre 2018

Les Trojans Downloaders sont les programmes malveillants utilisés par les pirates pour diffuser d'autres Trojans. Un de ces malwares a été détecté sur Google Play par les analystes de Doctor Web. Il se cachait dans un programme conçu pour se connecter à des réseaux privés virtuels (VPN).

Le cheval de Troie, nommé Android.DownLoader.818.origin, a été intégré au programme Turbo VPN - Unlimited Free VPN & Proxy qui a été téléchargé par plus de 11000 internautes. Le nom de l’application malveillante coïncide presque parfaitement avec le nom d’un client VPN populaire, Turbo VPN — Unlimited Free VPN & Fast Security VPN, développé par la société Innovative Connecting qui n’a aucune connexion avec ce logiciel contrefait. Les auteurs d'Android.DownLoader.818.origin ont à l’évidence tenté de le faire passer pour cette application conçue pour effectuer des connexions VPN.

A son lancement, Android.DownLoader.818.origin tente d'obtenir les droits d’écriture et de lecture des fichiers en affichant à l'utilisateur une demande appropriée. Puis il demande l’accès aux droits administrateur sur l'appareil mobile.

Android.DownLoader.818.origin permet de se connecter aux réseaux VPN — lors de son développement, les pirates ont utilisé des éléments du projet open source Open VPN pour Android. Cependant, les utilisateurs ayant installé l'appli ne pouvaient pas l'utiliser car après avoir obtenu les privilèges système, Android.DownLoader.818.origin supprime son icône de la liste des programmes sur l'écran d'accueil de l’appareil. A partir de ce moment-là, l'utilisateur ne peut plus lancer lui-même ce client VPN

Après s'être masqué, le malware télécharge discrètement un fichier apk sur le serveur distant et l'installe sur la carte mémoire. Il propose ensuite d'installer l'appli téléchargée jusqu'à ce que l'utilisateur accepte. Un exemple de message affiché par Android.DownLoader.818.origin afin de pousser l'utilisateur à installer un autre programme est présenté ci-dessous :

Au moment de l’analyse d'Android.DownLoader.818.origin, lefichier qu'il téléchargeait était le Trojan Android.HiddenAds.710, conçu pour afficher de la publicité. Toutefois, en fonction de la configuration du serveur et des tâches programmées par les pirates, Android.DownLoader.818.origin est capable de télécharger et de tenter d'installer d'autres logiciels malveillants ou indésirables.

Doctor Web a alerté la société Google qui a ensuite retiré l’appli du catalogue.

Tous les Trojans mentionnés ci-dessus ne représentent aucun danger pour les utilisateurs Dr.Web cas les produits antivirus Dr.Web pour Android les détectent et les suppriment.

#Android, #Google_Play, #logiciels malveillants, #Trojan

Votre Android a besoin d'être protégé
Utilisez Dr.Web

Télécharger gratuitement

Le premier antivirus russe pour Android

Plus de 135 millions de téléchargements sur Google Play !

Gratuit pour les utilisateurs de produits Dr.Web pour les particuliers

Appréciez

To vote, log in under your account or create an account if you don't have one yet.

Partagez

Dites "J'aime"

Quels sont les avantages liés à la création d'un compte ?

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.