le 26 mai 2014

Malgré les efforts fournis par Google en matière de sécurité des applications Android proposées sur Google Play, certains programmes malveillants et potentiellement dangereux parviennent parfois à figurer sur le catalogue. Récemment, les spécialistes de Doctor Web ont trouvé un utilitaire qui peut effectuer, en plus de la fonctionnalité de base pour perpétrer des actions indésirables telles que l'envoi de SMS, ainsi que le téléchargement et l'installation d'autres applications. Il est à noter que le nombre d'utilisateurs qui l'ont téléchargé a dépassé 1 million : ceci peut être considéré comme l'un des incidents de la plus grande ampleur parmi les incidents récents.

L'application qui a attiré l'attention des spécialistes de Doctor Web fait partie d'une classe d'outils dits utilitaires-optimisateurs qui permettent d'utiliser diverses fonctions de l'appareil mobile et d'exécuter un réglage spécifique de certains paramètres. En particulier, l'utilitaire permet de gérer des applications (installation, suppression et création de copies de sauvegarde), d'effectuer un "nettoyage de la mémoire", et de surveiller le trafic Internet.

Cependant, en plus de ces fonctions, le programme est capable d'effectuer un certain nombre d'actions cachées à l'utilisateur - par exemple, le téléchargement non autorisé d’applications et l'envoi des SMS vers des numéros premium. À ces fins, l'utilitaire utilise plusieurs services suspects qui sont activés après son lancement. Ainsi, l'un d'eux est utilisé pour communiquer avec un serveur distant, vers lequel sont transmises des informations sur l'appareil (IMEI et IMSI-ID) et depuis lequel l'appareil reçoit des commandes de contrôle, tels que:

• création d'une liste d'applications à télécharger ;
• options d'envoi de messages SMS (texte et numéro du destinataire);
• création d'une liste pour intercepter certains messages entrants (contient le numéro de l'expéditeur et le texte du SMS).

L'autre service est directement impliqué dans l'installation des applications. Conformément à la liste des fichiers apk précédemment créés, il effectue leur téléchargement et une tentative d'installation cachée, en utilisant la commande pm installer, disponible sur les appareils avec un accès root. Si les privilèges du système nécessaires ne sont pas disponibles, l'installation peut être effectuée en mode standard, nécessitant une confirmation du propriétaire de l'appareil mobile.

Malgré le fait que l'installation discrète d'un logiciel peut être utilisée à des fins légitimes, telles que le déplacement d'applications d'un appareil vers un autre, cette fonction peut également être utilisée pour installer différents logiciels sans autorisation de l'utilisateur. En ce qui concerne l'envoi automatique de messages SMS, la fonction est activée directement par une commande à partir d'un serveur de contrôle et n'est pas contrôlée par l'utilisateur. En raison de la présence de ces dangereuses options, les spécialistes de Doctor Web ont décidé de classer cet utilitaire comme malveillant et de l'ajouter à la base de données de virus sous le nom Android.Backdoor.81.origine.

Au moment de la détection du programme sur Google Play, il avait été téléchargé plus d’un million de fois, et de nombreux utilisateurs ont déjà été confrontés au problème d'envoi de SMS non autorisés vers des numéros premium. En date du 26 mai 2014, le programme était toujours disponible pour téléchargement depuis le répertoire des applications.

Pour éviter les conséquences désagréables des actions des programmes malveillants et potentiellement dangereux, il est recommandé d’étudier soigneusement les exigences requises par les applications lors de leur téléchargement et de posséder une protection antivirus moderne pour Android.

Protégez votre Appareil Android avec Dr.Web