Revenir vers la liste d'actualités
le 25 juillet 2013
Les applications découvertes appartiennent au développeur vietnamien AppStore Jsc et représentent deux lecteurs audio et lecteurs vidéo pour regarder des clips érotiques.
Le tableau ci-dessous donne des données sur le nombre de téléchargements de ces applications, en se basant sur les statistiques de Google Play :
Nom de l'application | Nom du package | Nombre de téléchargements |
Phim Sex HD-Free | phimsex.videoxxx.clipsex.phimnguoilon.phimconheo.tinhduc | 5000–10000 |
Zing MP3 - BXH Music | phimsexy.mp3.zing.vn.nhaccuatui.bangxephang.bxh.nhachot | 5000–10000 |
Phim Nguoi Lon - Audio 18+ | zingmp3.audio18.truyennguoilon.audiotinhduc | 1000–5000 |
Le total d'installations varie entre 11 et 25 000.
Ces applications sont standards mais intègrent un fichier apk caché, qui représente un Trojan de la famille Android.SmsSend. Lors du fonctionnement de ces « logiciels-porteurs », ajoutés à la base virale Dr.Web sous le nom d’ Android.MulDrop, Android.MulDrop.1 et Android.MulDrop.2, il est proposé aux utilisateurs de télécharger le contenu en question, mais après la confirmation, le logiciel télécharge une nouvelle application. Par exemple, un des dropper propose de recevoir de nouvelles vidéos érotique.
Si l'utilisateur confirme l'installation de l'application, le Trojan Android.SmsSend.517 sera installé sur l'appareil mobile. Ce Trojan envoie des SMS au numéro court 8775, spécifié dans le fichier de configuration du malware. Le Trojan n'empêche pas de visionner le contenu proposé. En ajoutant cette possibilité, les attaquants dissimulent encore plus l’aspect malveillant de l’application.
Quant à la deuxième et troisième applications qui contiennent des programmes malveillants Android.SmsSend.513.origin, ils agissent de la même façon que le Trojan Android.SmsSend.517 mais reçoivent les numéros courts du serveur de gestion.
Google a été informé de l'incident. Les utilisateurs des produits antivirus Dr.Web pour Android sont protégés contre ces programmes malveillants, ajoutés à la base virale.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments