Le 30 septembre 2014

A l’origine, la plupart des logiciels malveillants ont été conçus à des fins de divertissement. Peu à peu, l'intérêt des malfaiteurs est devenu matériel. Aujourd'hui, presque tous les logiciels malveillants sont conçus pour gagner de l'argent. Les spécialistes de Doctor Web ont découvert récemment une menace assez rare qui cible les tablettes et les Smartphones sous Android. Cette menace représente un danger important pour les utilisateurs car elle peut supprimer les données stockées sur la carte mémoire ainsi qu’empêcher de lire les SMS entrants et bloquer les fenêtres des logiciels de messagerie instantanée.

Ce nouveau Trojan, ajouté à la base de données virales Dr.Web sous le nom Android.Elite.1.origin appartient à la catégorie des logiciels vandales. Ce type de logiciels est assez rare. Ces applications malveillantes sont généralement créées non pour gagner de l'argent mais pour prouver ses compétences de programmation, exprimer ses points de vue sur des événements ou tout simplement pour le plaisir ou le hooliganisme. D'habitude, ces logiciels affichent des messages, endommagent les fichiers, empêchent le fonctionnement correct de l'équipement (hardware) contaminé. Ce nouveau Trojan Android agit exactement de cette manière. Il est distribué sous couvert de logiciels populaires, par exemple des jeux.

Lors de son lancement, Android.Elite.1.origin essaie d'obtenir les droits administrateur de l'appareil mobile, qui sont prétendument nécessaires pour effectuer une installation correcte de l'application. En cas de succès, le Trojan commence immédiatement le formatage de carte SD en supprimant toutes les données stockées. Puis le logiciel attend le lancement du client de la messagerie instantanée.

Dès que l'utilisateur lance le client officiel de Facebook, des logiciels WhatsApp Messenger, Hangouts ou l'application standard système pour le traitement des SMS, Android.Elite.1.origin bloque leurs fenêtres actives en affichant sur l'écran une image avec le texte OBEY or Be HACKED. Il est à noter que le Trojan bloque uniquement les applications énumérées. Les autres applications et le système d'exploitation fonctionnent correctement.

Pour limiter encore la communication, le Trojan masque toutes les notifications sur les nouveaux SMS reçus. Dans le même temps, les messages sont stockés dans la section « entrants », qui, cependant, n'est pas disponible car le blocage est toujours actif.

En plus du formatage de la carte SD et du blocage partiel des communications, Android.Elite.1.origin envoie toutes les 5 secondes à tous les contacts de l’appareil le texte suivant par SMS :

HEY!!! [nom du contact] Elite has hacked you.Obey or be hacked.

Le même texte est envoyé comme réponse à tous les SMS entrants :

Elite has hacked you.Obey or be hacked.

Ainsi, le compte de l'utilisateur dont l'appareil est infecté est vidé en quelques minutes et même quelques secondes.

Les spécialistes de Doctor Web recommandent aux utilisateurs de ne pas télécharger ni d’installer des applications à partir de sources douteuses. Et surtout de ne pas donner à ces applications les droits administrateur pour prévenir l'endommagement de fichiers ou d'autres conséquences négatives. Ce malware est ajouté à la base virale sous le nom Android.Elite.1.origin c'est pourquoi les utilisateurs de Dr.Web pour Android et Dr.Web pour Android Light sont complètement protégés.