Doctor Web : aperçu des menaces mobiles pour le mois de janvier 2017

Le 31 janvier 2017

Dans le premier mois de 2017, les spécialistes de Doctor Web ont détecté un Trojan Android qui s'est introduit dans le processus actif de l'application Play Store et téléchargeait de manière discrète des applications depuis le catalogue. Plus tard, les analystes ont identifié un premier Trojan bancaire dont le code source a été publié par les pirates sur Internet et un second qui se propageait sous couvert du jeu Super Mario Run, qui n'est toujours pas disponible pour les appareils Android, les pirates comptant donc sans doute sur la naïveté desutilisateurs pour le télécharger tout de même. Le mois dernier est également marqué par la détection d’un Trojan extorqueur sur Google Play, bloquant l'écran des Smartphones et tablettes.

Menace " mobile "du mois

Durant le premier mois de 2017, les spécialistes de Doctor Web ont détecté le Trojan Android.Skyfin.1.origin qui s'est introduit dans le processus actif de l'application Play Store et volait des données confidentielles et téléchargeait de manière discrète des applications depuis le catalogue, ce qui augmentait leur popularité artificiellement. Les caractéristiques d'Android.Skyfin.1.origin:

• propagé par d'autres programmes malveillants qui tentent d'obtenir l'accès root et installent le Trojan dans le dossier système,
• vole des données d'authentification et d'autres informations confidentielles de l'application Play Store, et imite son fonctionnement, il télécharge à l'insu de l'utilisateur des programmes sur le catalogue,
• après avoir téléchargé des applications, il les enregistre sur la carte mémoire, mais sans les installer afin de ne pas éveiller les soupçons du propriétaire de l'appareil mobile infecté,
• il publie sur Google Play des faux avis sur les applications spécifiées pas les pirates.

Pour en savoir plus sur ce Trojan, consultez notre article publié sur le site de Doctor Web.

Selon les données fournies par les produits antivirus Dr.Web pour Android

• Android.Loki.34
  Programme malveillant conçu pour télécharger d'autres Trojans.
• Android.Xiny.26.origin
  Trojan qui télécharge et installe une des applications différentes et affiche des publicités intempestives.
• Android.DownLoader.337.origin
  Trojan conçu pour télécharger d’autres applications malveillantes.
• Android.Triada.161.origin
  Représentant des chevaux de Troie multifonctions qui effectuent une variété d'actions malveillantes.
• Android.Mobifun.7
  Trojan conçu pour télécharger d’autres applications Android.

• Adware.Adpush.7
• Adware.Airpush.31.origin
• Adware.Leadbolt.12.origin
• Adware.WalkFree.2.origin
• Adware.Appsad.3.origin

Modules de programmes indésirables intégrés à des applications Android et conçus pour afficher des publicités sur les appareils mobiles.

Trojans bancaires ciblant Android

Au mois de janvier, les propriétaires de Smartphones et tablettes sous Android ont été menacés par le Trojan bancaire Android.BankBot.140.origin propagé par les auteurs de virus sous couvert du jeu Super Mario Run. Actuellement, le jeu est disponible uniquement pour les appareils sous iOS, donc, en utilisant cette tromperie, les attaquants ont parié sur le fait que des utilisateurs téléchargeraient tout de même l’appli.

Android.BankBot.140.origin suit le lancement des applications bancaires et affiche par dessus leurs fenêtres son formulaire de phishing invitant les utilisateurs à saisir le login et le mot de passe de leur compte. De plus, à l'ouverture de l'application Play Store, le Trojan tentait de voler des informations sur la carte bancaire en affichant une fausse fenêtre de configuration du service de paiement de Google Play.

A la mi-janvier, les analystes de Doctor Web ont détecté le Trojan bancaire Android.BankBot.149.origin dont le code source avait été publié par les auteurs de virus sur Internet. Cette application malveillante suit le lancement des programmes assurant un accès aux services de banque en ligne et aux systèmes de paiement et affiche par-dessus ces applications un formulaire frauduleux invitant à saisir le login et le mot de passe du compte de l'utilisateur. De plus, Android.BankBot.149.origin tente d’obtenir des informations sur la carte bancaire en affichant une fenêtre de phishing par -dessus celle du Play Store.

Ce Trojan intercepte des SMS entrants et tente de les masquer, il surveille les coordonnées GPS de l'appareil contaminé, voles des informations du répertoire et peut envoyer des SMS à tous les numéros disponibles. Pour en savoir plus sur Android.BankBot.149.origin, vous pouvez consulter l'article publié sur le site de Doctor Web.

Trojans sur Google Play

Le mois dernier, le Trojan Extorqueur Android.Locker.387.origin a été détecté sur Google Play. Ce Trojan était protégé par un outil de compression spécialisé afin d’empêcher sa détection et son analyse. Malgré cela, il est correctement détecté par les produits antivirus Dr.Web pour Android comme Android.Packed.15893. Ce Trojan a été diffusé sous couvert du programme Energy Rescue qui optimise soi-disant le fonctionnement de la batterie. Après son lancement, Android.Locker.387.origin demande l’accès aux fonctions d’administrateur de l'appareil mobile et bloque le Smartphone ou la tablette contaminés en exigeant une rançon pour le déblocage. Il est à noter qu'il n’est pas actif en Russie, Ukraine et Biélorussie.

A part le blocage des appareils sous Android, Android.Locker.387.origin vole des informations sur les contacts du répertoire et tous les SMS disponibles.

Les cybercriminels continuent à montrer l’intérêt pour les appareils mobiles fonctionnant sous Android et créent beaucoup de nouvelles applications malveillantes ciblant cette plate-forme mobile. Pour protéger les Smartphones et tablettes, il est recommandé aux utilisateurs d’installer les produits antivirus Dr.Web pour Android, qui détectent correctement les Trojans ciblant Android ainsi que d'autres programmes dangereux.

Protégez votre appareil Android avec Dr.Web !