Le 2 décembre 2011

Doctor Web annonce la détection d’un nombre élevé de programmes malveillants sur l’Android Market. Tous ces programmes sont des trojans Android.SmsSend, pouvant envoyer des SMS sur des numéros payants à l’insu de l’utilisateur. Les spécialistes Dr.Web se sont adressés à Google pour faire supprimer ces malwares.

Doctor Web a découvert plus de trente applications malveillantes capables d’envoyer des SMS sur des numéros payants à l'insu de l'utilisateur. Les trojans de ce type ne datent pas d’hier et sont utilisés depuis très longtemps pour voler de l’argent.

Ce n’est pas la première fois que l’Android Market est une source de propagation de programmes malveillants. Ainsi les trojans Android.DreamExploid, Android.DDLight ont y déjà été détectés, parmi d’autres. Nous avons déjà détecté par le passé les applications infectées par Android.SmsSend, mais il s’agissait de cas isolés, alors qu’ici, il s'agit d'une large propagation de ce trojan dans plusieurs applications en même temps.

33 applications malveillantes appartenant à différents éditeurs ont été détectées sur l’Android Market. La plupart des applications dangereuses sont des catalogues d'images permettant de modifier le fond d'écran, avec différents thèmes allant des images de jeux vidéo aux images de paysages. Parmi ces applications malveillantes, on peut également trouver : une application « lampe de poche » rendant le mobile lumineux afin de faire office de lampe de poche, des horoscopes, des régimes etc. Il est à noter que l’interface reste très sobre et sert uniquement à cacher le vrai objectif du programme : l’envoi de SMS payants. Pour assurer une propagation rapide de ces applications, les éditeurs ajoutent à leur description des noms d’applications très connues, comme « Angry Birds » ou d’autres, qui n’ont rien avoir avec les applications en question, mais qui permet aux pirates de faire apparaitre leurs applications dans les premières places sur l’Android Market.

Une fois l'application lancée, l’utilisateur doit confirmer qu’il accepte les conditions générales d’utilisation, lorsqu’elles existent. Si c’est le cas, le texte recèle souvent un mot avec un hyperlien donnant plus de conditions, mais quasiment invisible, donc très rarement lu par l’utilisateur. Il est évident qu’immédiatement après l'acceptation de ces conditions, l'application commence à envoyer des SMS payants.

Dans d’autres applications, le système de fonctionnement est un peu différent. Une fois l'application lancée, un message d'introduction demandant d'accepter les conditions d'utilisation affiche deux boutons: accepter et lire les conditions. En cliquant sur « lire les conditions », l'utilisateur se retrouve sur un site qui ne fonctionne pas. S’il les accepte sans les consulter, les messages payants commencent immédiatement à être envoyés.

Google a déjà supprimé les applications malveillantes de l’Android Market et les signatures ont été ajoutées aux bases virales Dr.Web.