04 mai 2016

Le Play Store est considéré comme la source la plus fiable de logiciels pour Smartphones et tablettes sous Android, il arrive cependant que des programmes malveillants y soient détectés. Les chercheurs de Doctor Web ont récemment découvert 190 applications infectées par Android.Click.95 incitant les utilisateurs à installer des applis en affichant de fausses alertes et messages d’erreur.

Toutes les applications contenant Android.Click.95 possèdent une architecture assez simple. Typiquement, ce sont des applis de divertissement comme des apps d’horoscope, d’albums photos (dream-books) etc. Les 190 applis infectées découvertes sont distribuées par les développeurs suivants : allnidiv, malnu3a, mulache, Lohari, Kisjhka, et PolkaPola. A ce jour, au moins 140 000 utilisateurs ont déjà installé ces applis malveillantes. Google a été informé.

Lorsqu’ Android.Click.95 a infecté un appareil, il ne commence pas son activité malveillante juste après l’installation ou le lancement d’une appli mais 6 heures après, afin de masque la source de l’infection.

A l'expiration du délai de 6 heures, Android.Click.95 recherche sur l’appareil infecté une application indiquée dans la configuration du Trojan. Si cette appli est absente, le Trojan ouvre un site web frauduleux qui incite l’utilisateur à choisir un autre navigateur en arguant que l’actuel n’est pas sûr. Si l’appli recherchée est installée sur l’appareil, le Trojan affiche une autre fausse alerte, par exemple sur un dysfonctionnement de la batterie.

Pour résoudre ce (faux) problème inattendu, l’utilisateur devra, bien entendu, installer une appli vérolée. Et afin de s’assurer que cette appli sera bien téléchargée, Android.Click.95 affiche la fausse page web toutes les 2 minutes, rendant l’utilisation de l’appareil quasi impossible.

Si l’utilisateur décide d’installer l’appli malveillante, il est redirigé vers le Play Store directement sur l’appli en question. Les pirates sont rémunérés à chaque téléchargement de l’appli infectée via un programme partenaire publicitaire, il n'est donc pas étonnant qu'ils aient créé un nombre si important de copies d'Android.Click.95.

Doctor Web recommande aux utilisateurs de rester très vigilants et de ne pas installer d’applis qui sont proposées via des alertes et autres messages alarmant, même si elles sont disponibles sur le Play Store. Dr.Web pour Android détecte et supprime Android.Click.95.