Dr.Web — Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois d'octobre 2023

le 22 novembre 2023

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en octobre 2023, les utilisateurs ont rencontré le plus souvent des chevaux de Troie affichant de la publicité, ces Trojans appartenaient à la famille Android.HiddenAds. Par rapport au mois précédent, leur activité a augmenté de 46 %. Le nombre d'attaques par le deuxième cheval de Troie publicitaire le plus courant de la famille Android.MobiDash a également augmenté de 7 %. De plus, les utilisateurs étaient plus susceptibles de rencontrer des applications malveillantes espions et des chevaux de Troie bancaires — de 18,27 % et 10,73 %, respectivement.

Au cours du mois d’octobre, les analystes de Doctor Web ont révélé de nouvelles menaces sur Google Play. Parmi elles, des dizaines de faux programmes de la famille Android.FakeApp, que les attaquants utilisent à des fins frauduleuses, ainsi que des chevaux de Troie Android.Proxy.4gproxy, qui transforment les appareils Android en serveurs proxy.

Les tendances principales du mois d'octobre

Augmentation de l'activité des applications de Trojan publicitaire
Augmentation de l'activité des Trojans espions et Trojans bancaires,
Apparition de nombreuses applications malveillantes sur Google Play.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3831
Android.HiddenAds.3697: Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.4498
Android.Spy.5106: Détection de diverses variantes du cheval de Troie, qui sont des versions modifiées des modifications non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Android.MobiDash.7804: Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.

Program.CloudInject.1: Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installation et de désinstaller d'autres logiciels, etc.
Program.FakeAntiVirus.1: Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.FakeMoney.7: Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.wSpy.3.origin: Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.
Program.SecretVideoRecorder.1.origin: Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.LuckyPatcher.1.origin: Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.WAppBomber.1.origin: Un utilitaire Android de messagerie en masse dans WhatsApp Messenger. Pour fonctionner, l'application nécessite d'accéder à la liste de contacts à partir du répertoire de l'utilisateur.

Adware.ShareInstall.1.origin: Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.
Adware.MagicPush.1: Module publicitaire intégré à des applis Android. Il affiche des bannières pop-up par-dessus l'interface du système d'exploitation lorsque ces programmes ne sont pas utilisés. Ces bannières contiennent des informations trompeuses. Le plus souvent, ils signalent des fichiers suspects prétendument détectés, ou parlent de la nécessité de bloquer le spam ou d'optimiser la consommation d'énergie de l'appareil. Pour ce faire, l'utilisateur est invité à se rendre dans l'application appropriée dans laquelle l'un de ces modules est embarqué. Lorsque vous ouvrez le programme, une publicité s'affiche.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.Airpush.7.origin: Représentant de la famille de modules publicitaires qui sont intégrés à des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du mois d'octobre, les analystes de Doctor Web ont détecté plus de 50 applications malveillantes sur Google Play. Parmi les malwares détectés, on voit des Trojans Android.Proxy.4gproxy.1, Android.Proxy.4gproxy.2, Android.Proxy.4gproxy.3 et Android.Proxy.4gproxy.4, qui transforment les appareils contaminés en serveurs proxy et les utilisent pour transférer discrètement un trafic tiers. Diverses modifications du premier cheval de Troie ont été distribuées sous le couvert du jeu Photo Puzzle, du programme Sleepify conçu pour lutter contre l'insomnie et de l'outil Rizzo The AI chatbot pour travailler avec un chatbot. Le deuxième Trojan a été dissimulé derrière l'application de prévisions météorologiques Premium Weather Pro. Le troisième a été inséré dans l'application — le carnet Turbo Notes. Le quatrième Trojan a été diffusé par les pirates sous le couvert de l'application Draw E conçu pour créer des images à l'aide d'un réseau de neurones.

L'utilitaire 4gproxy (détecté par Dr.Web comme Tool.4gproxy) est intégré dans ces applications malveillantes et permet d'utiliser des appareils Android comme serveurs proxy. En soi, il n'est pas nocif et peut être utilisé à des fins inoffensives. Cependant, dans le cas de ces chevaux de Troie, l'utilisation de tels proxys est effectuée à l'insu de l'utilisateur.

Dans le même temps, nos analystes ont détecté des dizaines de nouveaux Trojans de la famille Android.FakeApp, dont une partie a été diffusée sous le couvert d'applications financières (notamment, Android.FakeApp.1459, Android.FakeApp.1460, Android.FakeApp.1461, Android.FakeApp.1462, Android.FakeApp.1472, Android.FakeApp.1474 et Android.FakeApp.1485). En fait, leur tâche principale est de télécharger des sites frauduleux qui invitent les victimes potentielles à devenir des « investisseurs ». Les pirates demandent aux utilisateurs des données personnelles et les invitent à investir dans des projets ou des outils financiers prétendument rentables.

Autres programmes contrefaits (Android.FakeApp.1433, Android.FakeApp.1444, Android.FakeApp.1450, Android.FakeApp.1451, Android.FakeApp.1455, Android.FakeApp.1457, Android.FakeApp.1476 et d'autres) déguisés en différents jeux. Sous certaines conditions, au lieu d'exécuter des jeux, ils chargent des sites de casino ou de bookmaker en ligne.

Voici des exemples du fonctionnement de ces chevaux de Troie en tant que jeux :

Exemples de sites de casino en ligne qu'ils téléchargent :

Le Trojan Android.FakeApp.1478 effectue une tâche similaire, il se cache derrière une application de lecture d'actualités et de publications sur le sport et a été en mesure de télécharger des sites web de bookmakers.

De plus, de nouveaux chevaux de Troie sensés aider les utilisateurs Android à trouver du travail ont été détectés. L'un d'eux s’appelle Rixx (Android.FakeApp.1468), l'autre — Catalogue (Android.FakeApp.1471). Au lancement, ces applications malveillantes affichent une fausse offre d'emploi. Lorsque des victimes potentielles tentent de répondre à l'une des publicités, elles sont invitées à fournir des données personnelles sous une forme spéciale ou à contacter l '« employeur » via des messagers — par exemple, WhatsApp ou Telegram.

Vous trouverez ci-dessous des exemples du fonctionnement d'un de ces programmes. Le cheval de Troie affiche un formulaire de phishing sous couvert d'une fenêtre de CV ou propose de contacter « l’employeur » via le messager.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

Premier antivirus russe pour Android
Plus de 140 millions de téléchargements sur Google Play
Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement