Revenir vers la liste d'actualités
le 22 mai 2013
Le Trojan, détecté il ya quelques jours, est le deuxième représentant connu de la famille Android.Pincer.Comme son prédécesseur, le malware se propage sous forme d'un certificat de sécurité, qu'il faut installer sur un appareil mobile sous Android. Si l'utilisateur installe et lance le Trojan, Android.Pincer.2.origin affiche un faux message sur l'installation réussite du certificat puis reste invisible.
Pour être chargé avec le système d'exploitation, le Trojan enregistre un service du système CheckCommandServices qui fonctionne après comme un service de fond.
Si le lancement a fonctionné lors du démarrage de l'appareil mobile, Android.Pincer.2.origin se connecte à un serveur distant et télécharge les données suivantes sur l'appareil :
- modèle ;
- numéro de série ;
- identificateur IMEI ;
- opérateur mobile utilisé ;
- numéro ;
- langue du système par défaut ;
- version du système d'exploitation ;
- présence d'accès root.
Ensuite, le programme malveillant attend le SMS comportant le texte " command : [nom d'une commande] ", contenant la description de l'action à exécuter. Les cybercriminels prévoient les commandes suivantes :
- start_sms_forwarding [numéro de téléphone] - pour commencer l'interception des messages envoyés du numéro spécifié ;
- stop_sms_forwarding - arrêter l'interception des messages ;
- send_sms [numéro de téléphone et le texte] - envoyer des SMS avec les paramètres spécifiés ;
- simple_execute_ussd - exécuter une requête USSD ;
- stop_program - arrêter l’action du trojan ;
- show_message - afficher un message sur l'écran de l'appareil mobile ;
- set_urls - modifier l'adresse du serveur de gestion ;
- ping - envoyer des SMS avec le texte pong à un numéro pré-déterminé ;
- set_sms_number - pour changer ce numéro.
La commande start_sms_forwarding représente un intérêt particulier, puisque elle permet d'indiquer depuis quel numéro il faut intercepter les messages. Cette fonctionnalité permet d'utiliser ce logiciel comme un outil pour lancer des attaques ciblées et voler les messages contenant les codes mTAN ou les données sensibles des utilisateurs, aussi bien des particuliers que des chefs des entreprises et des personnels d’institutions publiques.
Dr.Web pour Android détecte le Trojan Android.Pincer.2.origin, c'est pourquoi il ne représente aucune menace pour nos utilisateurs.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments