Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan ciblant Android obtient l'accès root pour exécuter des actions malveillantes

le 21 avril 2015

Les chercheurs de Doctor Web ont détecté un dangereux Trojan qui essaie d'obtenir l'accès root pour télécharger, installer et supprimer des applications à l'insu de l'utilisateur. De plus, ce logiciel malveillant peut recueillir des données sur les appareils mobiles infectés et les envoyer aux malfaiteurs, ainsi qu’afficher des publicités.

Ce nouveau logiciel malveillant, baptisé Android.Toorch.1.origin, se dissimule dans l'application lanterne (flashlight) et peut être distribué par les malfaiteurs via des sites populaires ou à l'aide de modules publicitaires agressifs au sein des applications. Pour qu’ Android.Toorch.1.origin puisse infecter le Smartphone ou la tablette, l'utilisateur doit l'installer. Mais comme il se cache dans un logiciel légitime, la probabilité de son installation augmente significativement. Il est à noter qu’ Android.Toorch.1.origin fonctionne comme l'application lanterne (flashlight).

screen virus #drweb

Après son lancement, ce Trojan se connecte au serveur de gestion et y envoie les données sur l'appareil mobile suivantes :

  • heure locale ;
  • géolocalisation ;
  • identificateur IMEI ;
  • ID de l'appareil unique généré par le Trojan ;
  • version du Trojan ;
  • présence d’un accès root ;
  • présence d'une connexion Wi-Fi active ;
  • version de l'OS ;
  • langue du système ;
  • fabricant et modèle de l'appareil ;
  • nom du package du Trojan ;
  • type de connexion réseau.

Dans le même temps, Android.Toorch.1.origin essaie d'augmenter ses privilèges système jusqu'au niveau root. Pour ce faire, il utilise le package modifié com.apkol.root. En cas de succès, le logiciel malveillant installe dans le répertoire système /system/app l'application NetworkProvider.apk (détectée également sous le nom Android.Toorch.1.origin), stockée dans le package du Trojan et lance le processus système approprié. Certaines versions de ce composant peuvent contenir le module GDataAdapter, qui s'installe dans le même répertoire et assure le fonctionnement continu de NetworkProvider.apk en le relançant en cas d'arrêt.

Le logiciel NetworkProvider.apk contient à son tour un autre composant du Trojan Android.Toorch.1.origin, ajouté à la base virale sous le nom Android.Toorch.2.origin. Il est chargé dans la mémoire vive à l'aide du DexClassLoader et, après son lancement dans le système infecté, il reçoit du serveur de gestion le fichier de configuration qui va déterminer l'activité malveillante. Il peut par exemple informer les malfaiteurs de son lancement, effectuer sa propre actualisation, envoyer des données sur le système infecté (y compris les coordonnées GPS et la liste des applications installées) au serveur distant. Cependant, la fonctionnalité principale de ce module est de télécharger, installer et supprimer des applications sur commande des pirates. Grâce à l'accès root, ces actions se passent à l'insu de l'utilisateur.

Il est à noter qu’ Android.Toorch.1.origin contient la plate-forme publicitaire Adware.Avazu.1.origin, qui affiche des publicités chaque fois que l'utilisateur installe une application. Ce module peut être installé dans le système par certaines modifications du Trojan comme une application au sein du composant Trojan GoogleSettings.apk, parfaitement identique à NetworkProvider.apk.

screen virus #drweb

Le danger important du Trojan Android.Toorch.1.origin est que les applications qu'il installe sont placées dans le répertoire système qui n'est pas analysé lors des scans rapides effectués par les produits Dr.Web pour Android. Ainsi, même si l'application lanterne (flashlight) est supprimée, tous les composants installés dans le système continuent leur activité malveillante, c'est pourquoi l'utilisateur doit lancer un scan complet de l'appareil une fois le Trojan Android.Toorch.1.origin détecté.

Les spécialistes de Doctor Web ont développé un utilitaire spécial qui doit aider les victimes du Trojan Android.Toorch.1.origin à neutraliser tous ses composants additionnels sur les appareils mobiles. Pour traiter les appareils mobiles infectés, l'utilisateur doit télécharger cet utilitaire, l'installer et le lancer, puis suivre les instructions affichées sur l'écran. Il faut noter qu’après la suppression du Trojan, l'accès root devient indisponible, c'est pourquoi l'utilisateur devra les obtenir de nouveau.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg