Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

De nouveaux trojans visent les mobiles Android avec accès root

Le 3 mai 2012

Doctor Web annonce l’apparition de nouveaux programmes malveillants ciblant Android et utilisant les droits root.

Les nouveaux trojan se propagent via des sites proposant des logiciels pour Android. Les programmes malveillants utilisent pour leur propagation le principe des poupées russes (ils sont classés par Dr.Web comme Android.MulDrop.origin.3), ainsi l'application téléchargée contient encore un fichier, fichier apk qui est codé. La première application est un dropper, permettant d’introduire puis décompresser et installer un programme malveillant.

Il est important de préciser que pour dropper, les pirates choisissent des applications comme des utilitaires systèmes, des « tweaks » etc. La raison en est évidente : pour ce genre d’applications, les droits d'administrateur sont nécessaires. Suite à son lancement, l'application demande l'accès root et l'utilisateur accepte sans réfléchir.

screen

Après avoir reçu les droits nécessaires, Android.MulDrop.origin.3 décode le fichier apk et le sauvegarde dans /system/app/ sous le nom ComAndroidSetting.apk, ce dernier étant également un dropper avec un fichier apk (il est classé par Dr.Web comme Android.MulDrop.origin.4). Celui-ci est activé après le lancement de l'OS, il décode son fichier apk qui est aussi un trojan-downloader et est classé par Dr.Web comme Android.DownLoader.origin.2.

Android.DownLoader.origin.2 possède une fonction d’autorun, suite au lancement de l’OS, il se connecte au serveur distant pirate et reçoit une liste d’applications à télécharger et installer. La liste peut contenir des applications inoffensives et des programmes malveillants.

Il faut noter que le 28 avril 2012, les spécialistes de Doctor Web ont découvert une autre version de dropper. Android.MulDrop.origin.2, comme Android.MulDrop.origin.3, se propage via les sites proposant des logiciels mais il fonctionne autrement. Le trojan, suite à son lancement, cherche à sauvegarder sur la carte mémoire le fichier apk qu’il décode à l’avance. En même temps, il affiche un message Android Patch 8.2.3 dans le panneau de notifications. Si l’utilisateur clique sur le message, le trojan commence son installation, mais les pirates ont fait une erreur dans le dropper et il ne peut pas sauvegarder le fichier sur la carte mémoire.

screen

screen

S’il n’y avait pas d’erreur, le trojan-downloader Android.DownLoader.origin.1, grâce à la fonction autorun, aurait pu s'installer dans le système et se connecter au serveur à chaque fois que l’utilisateur allume son mobile et recevoir un fichier de configuration xml avec une liste d’applications qu'il doit télécharger dans le système. Sur les mobiles sans droits root, cette action nécessite une intervention de l'utilisateur tandis que les utilisateurs des mobiles avec des droits root ne remarqueraient même pas toutes les actions du trojan.

L’analyse menée par Doctor Web a montré que les auteurs d’Android.MulDrop.origin.2 sont les auteurs d’Android.MulDrop.origin.3. Nous pouvons supposer qu’Android.MulDrop.origin.2 a été crée pour tester leurs capacités et nouvelles technologies.

Les utilisateurs de Dr.Web pour Android Antivirus + Antispam et Dr.Web 7.0 pour Android Light sont protégés contre ces menaces. Pour minimiser les risques d'infection, Doctor Web appelle les utilisateurs des mobiles Android à rester vigilants envers les applications installées et surtout envers les sources de ces applications. Il est recommandé d'utiliser uniquement le site officiel Google Play (play.google.com).

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg