le 27 octobre 2014

Les spécialistes de Doctor Web ont découvert un Trojan ciblant les appareils mobiles sous Android qui passe des appels et possède un mécanisme d'auto protection fiable. Les logiciels malveillants qui passent des appels sur des numéros payants sont connus depuis longtemps : ces menaces étaient répandues à l'époque où la connexion Internet était faible et utilisaient la technologie de dial-up et les modems, puis elles ont ciblé les appareils mobiles. Le but principal de ces malwares est d'appeler un numéro spécifié (dans la plupart des cas des services pour adultes) dont le coût est prélevé du compte mobile de l'utilisateur. Aujourd'hui ces logiciels malveillants sont moins fréquents, mais les malfaiteurs les utilisent parfois pour gagner de l'argent.

Le nouveau Trojan, ajouté à la base de données virales Dr.Web sous le nom Android.Dialer.7.origin, représente un malware conçu pour passer des appels sur des numéros payants. Il est distribué sous couvert d'une application érotique. Après son installation, il place sur l'écran principal son raccourci sans nom et sans icône. L'utilisateur peut ainsi croire que l'installation a échoué. Dans certains cas, après son lancement, Android.Dialer.7.origin peut afficher un message d'erreur d'accès au service demandé, puis masque sa présence dans le système infecté en supprimant son raccourci et fonctionne comme un service système. En plus du démarrage manuel via le raccourci, le Trojan peut activer ce service automatiquement, par exemple après le redémarrage de l'appareil infecté, ce qui élimine presque l'intervention de l'utilisateur.

Le service, lancé par Android.Dialer.7.origin passe des appels réguliers au numéro 803402470, stocké dans les paramètres du Trojan. Si nécessaire, les malfaiteurs peuvent modifier le numéro d'appel à l'aide d'une commande depuis le serveur de gestion. Cela rend l'utilisation d’Android.Dialer.7.origin plus flexible en permettant de gagner sur plusieurs services payants.

Pour réduire la probabilité de détection, le Trojan désactive le haut-parleur de l'appareil mobile pendant l'appel et supprime toutes les données sur ses appels dans le log du système et la liste des appels.

Cependant, la particularité de ce Trojan est sa résistance aux tentatives de le supprimer : Si la victime ouvre la section des paramètres système, responsable de la gestion des applications, Android.Dialer.7.origin bloque cette action en ramenant l'utilisateur vers l'écran principal. Ainsi, il rend sa suppression manuelle presque impossible.

Les produits antivirus de Doctor Web détectent et suppriment ce Trojan, c'est pourquoi les utilisateurs de Dr.Web pour Android et Dr.Web pour Android Light sont protégés. SI vous avez des problèmes avec la suppression d’Android.Dialer.7.origin, veuillez utiliser le déblocage de l'appareil mobile, puis répéter le scan et le traitement.

Protégez votre Appareil Android avec Dr.Web