Le 9 avril 2012

Doctor Web alerte les utilisateurs d’Android sur la propagation d’une nouvelle modification d'Android.Gongfu. Les pirates insèrent ce trojan dans des programmes et des jeux en ligne. La nouvelle version d’Android.Gongfu est capable non seulement de transmettre des informations sur le Smartphone infecté et d’exécuter des commandes reçues d’un serveur distant, mais également de télécharger et d'installer d'autres applications à l'insu de l'utilisateur.

Les programmes malveillants de la famille Android.Gongfu peuvent installer sur un Smartphone infecté une application en tâche de fond. L’application installée par le trojan fonctionne de façon transparente pour l’utilisateur et collecte les données du téléphone comme la version de l’OS, le modèle, le nom de l’opérateur, le numéro IMEI et le numéro de téléphone de l’utilisateur. Ensuite, toutes les informations sont envoyées aux pirates. De plus, le trojan Android.Gongfu peut jouer le rôle d’un backdoor capable d'exécuter les commandes des malfaiteurs.

La nouvelle modification du trojan Android.Gongfu a déjà été détectée dans plusieurs applications qui se propagent sur différents sites (hors Google Play). Elle a notamment été détectée dans le fichier d'installation du jeu très populaire Angry Birds Space.

Les nouvelles modifications d’Android.Gongfu utilisent la vulnérabilité d’Android leur permettant d'augmenter leurs droits jusqu’au root à l’insu de l’utilisateur. L'application malveillante propose à l'utilisateur un guide d'installation (de cette application) permettant de la lancer en mode administrateur. Le guide d'installation affirme que ceci est nécessaire pour son fonctionnement et ses mises à jour. Lorsqu’Android.Gongfu est lancé avec les droits d'administrateur, il peut pénétrer dans les processus Android, y compris ceux qui assurent le bon fonctionnement de l'OS. Le trojan est capable de transmettre des informations sur le téléphone aux pirates, d'exécuter les commandes du serveur distant et d’installer des applications à l’insu de l’utilisateur.

Toutes les modifications connues d’Android.Gongfu sont détectées par Dr.Web pour Android Antivirus + Antispam et Dr.Web pour Android Light 7.0 grâce à la technologie Origins Tracing™, basée sur l’analyse comportementale. Une seule signature suffit pour une famille d’applications malveillantes, ce qui assure une détection rapide et des bases plus compactes. Origins Tracing™ est une technologie unique, développée par Doctor Web.

Pour éviter l’infection des mobiles sous Android, Doctor Web recommande de télécharger les applications uniquement via le site officiel Google Play (play.google.com). Soyez vigilants avec les applications demandant les droits d’administrateur sur le mobile.