Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un publiciel ciblant Android joue un mauvais tour aux autres logiciels

le 26 novembre 2015

Les développeurs de logiciels gagnent depuis longtemps de l’argent sur l'affichage des publicités. Cependant, les malfaiteurs essaient de gagner aussi en développant des logiciels malveillants spécialisés. Les chercheurs de Doctor Web ont découvert le Trojan publicitaire Android.Spy.510, qui installe sur les appareils mobiles sous Android un module qui affiche des publicités dans la plupart des applications lancées.

Android.Spy.510 est distribué via un lecteur média que les malfaiteurs ont baptisé " AnonyPlayer ". La version malveillante de ce lecteur copie les fonctionnalités du logiciel original et est complètement opérationnel.

Après l'installation et le lancement, Android.Spy.510 recueille et transmet au serveur de gestion des données confidentielles, y compris le login de l'utilisateur pour son compte sur Google Play, le modèle de l'appareil mobile, la version SDK de l'OS, ainsi que la présence de l'accès root. Puis le Trojan essaie d'installer le package masqué additionnel qui exécute les principales fonctionnalités malveillantes. Pour ce faire, Android.Spy.510 affiche une notification spéciale sur la nécessité d'installer l'application AnonyService, qui assure l'anonymat de l'utilisateur et empêche l'interception des données confidentielles par des tiers. En réalité, ce logiciel est un module publicitaire, ajouté à la base virale Dr.Web sous le nom Adware.AnonyPlayer.1.origin.

screen  screen

Après son lancement, Adware.AnonyPlayer.1.origin demande un accès aux fonctionnalités spéciales de l'OS (Accessibility Service), puis passe en mode de veille et commence son activité malveillante quelques jours après son installation. Cela est fait pour réduire le risque de sa détection par l'utilisateur.

screen  screen

Grâce aux fonctionnalités Accessibility Service, Adware.AnonyPlayer.1.origin commence à surveiller toutes les actions de l'OS et attend le lancement d'une application. Une fois que cela se produit, le module affiche la publicité. D'abord, Adware.AnonyPlayer.1.origin vérifie si l'application est incluse à la liste blanche des applications qui, selon les malfaiteurs, ne peuvent pas techniquement afficher de publicités :

  • org.adw.launcher
  • com.android.launcher
  • com.android.systemui
  • com.android.settings
  • com.android.dialer
  • com.huawei.android.launcher
  • com.google.android.gm
  • com.android.deskclock
  • com.android.calendar
  • com.android.contacts
  • com.sec.android.app.camera
  • com.lge.settings.easy
  • com.android.providers.downloads.ui
  • com.android.calculator2
  • com.android.mms
  • com.android.phone
  • android
  • com.lge.clock
  • com.sec.android.app.launcher
  • com.android.gallery
  • com.android.camera
  • com.google.android.apps.maps
  • com.lge.launcher2
  • com.apusapps.launcher
  • com.lge.splitwindow
  • com.sonyericsson.home
  • com.android.incallui
  • com.google.android.inputmethod.latin
  • com.whatsapp
  • com.android.packageinstaller

Si Adware.AnonyPlayer.1.origin trouve une correspondance dans cette liste, il ne fait rien, car l'affichage des publicités dans les logiciels sains (y compris des logiciels système) peut démasquer la présence du Trojan dans le système.

Si l'application n'est pas répertoriée dans cette liste, Adware.AnonyPlayer.1.origin à l'aide de WebView, génère une notification spéciale au dessus de la fenêtre du logiciel lancé qui contient la publicité fournie par le serveur de gestion. Ainsi, le propriétaire de l'appareil infecté peut croire que la source de publicités est le logiciel qu'il vient de lancer. Pour mieux masquer leurs malwares, les malfaiteurs n'ont pas prévu l'affichage de publicités lors du lancement de Adware.AnonyPlayer.1.origin, ainsi que du Trojan Android.Spy.510.

screen

Doctor Web recommande aux utilisateurs d’appareils mobiles sous Android d'installer des applications à partir de sources fiables. De plus, les utilisateurs doivent prêter une attention particulière aux logiciels qui demandent l'accès aux fonctionnalités spéciales de l'OS (Accessibility Service). Si le logiciel malveillant y accède, il peut interagir avec l'interface graphique (par exemple traiter les boîtes de dialogues) et même intercepter des données entrées par l'utilisateur en fonctionnant comme un keylogger. Par conséquent, il peut voler des données confidentielles, telles que la correspondance, les requêtes aux moteurs de recherche et même des mots de passe.

Le Trojan Android.Spy.510 et le publiciel Adware.AnonyPlayer.1.origin ont été ajoutés à la base virale Dr.Web, c'est pourquoi les utilisateurs des produits Dr.Web sont complètement protégés.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg