Doctor Web : aperçu des menaces mobiles pour le mois de novembre 2017

le 30 novembre 2017

En novembre, de nombreuses applications malveillantes ont été détectées sur Google Play.

Au début du mois, un Trojan Miner utilisait la puissance de calcul des appareils mobiles pour l'extraction de crypto-monnaies, Plus tard, les experts ont détecté des Trojans SMS qui abonnaient les internautes à des services payants et à la mi-novembre, c’est un programme malveillant qui téléchargeait et lançait des modules de Trojan supplémentaires qui a été analysé. Ces modules téléchargeaient des pages web en cliquant sur des liens et bannières publicitaires. Enfin, le catalogue d’applis de Google a été pollué par un Trojan conçu pour télécharger différentes applications et des Trojans bancaires qui volaient des données confidentielles et de l’argent.

Menace " mobile "du mois

Au cours du mois de novembre, les analystes de Doctor Web ont détecté sur Google Play plusieurs applications dans lesquelles a été implanté le Trojan Android.RemoteCode.106.origin. Au total, ces Trojans ont été téléchargés au moins 2 370 000 fois sur Google Play. Après son lancement, Android.RemoteCode.106.origin télécharge et exécute des modules malveillants supplémentaires. Ils sont utilisés pour ouvrir automatiquement les pages web indiquées par le serveur de contrôle afin d'y cliquer sur les bannières et liens publicitaires. Pour en savoir plus sur Android.RemoteCode.106.origin, consultez l'article publié sur le site de Doctor Web.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.238

Trojans conçus pour afficher des publicités.

Android.Triada.63

Android.Triada.152

Représentant de la famille de Trojans qui exécutent une variété d'actions malveillantes.

Android.DownLoader.653.origin

Trojan qui télécharge d'autres logiciels malveillants.

Android.Click.171.origin

Trojan qui consultent périodiquement les sites web indiqués et peut être utilisé pour augmenter leur popularité ou pour suivre des liens publicitaires.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Adviator.6.origin

Adware.Airpush.31.origin

Adware.SalmonAds.1.origin

Modules de programmes indésirables intégrés à des applications Android et conçus pour afficher des publicités sur les appareils mobiles.

TROJAN-MINER

TROJAN-MINER Android.CoinMine.3 a été détecté sur Google Play. Il utilisait la puissance de calcul des Smartphones et tablettes Android pour extraire de la crypto-monnaie Monero. Ce programme malveillant a été dissimulé derrière l'application XCOOEEP et conçu pour accéder au chat en ligne Club Cooee.

Android.CoinMine.3 chargeait via une fenêtre invisible WebView un site web sur lequel un script de mining avait été placé. Ce script démarrait automatiquement. Lors de l’extraction de crypto-monnaie, les performances de l'appareil mobile baissaient et l'appareil commençait à chauffer, sa batterie se déchargeait plus vite.

Trojans SMS

Parmi les programmes malveillants diffusés via Google Play et détectés le mois dernier, plusieurs Trojans SMS. Ils ont été implantés dans les applications Secret Notepad, Delicate Keyblard et Super Emotion détectées par Dr.Web comme Android.SmsSend.23371, Android.SmsSend.23373 et Android.SmsSend.23374. Ces programmes malveillants tentaient d'envoyer des SMS coûteux et d’abonner le numéro du propriétaire de l'appareil contaminé à des services inutiles.

TROJAN DOWNLOADER

Au mois de novembre, de nouvelles modifications du Trojan Android.DownLoader.658.origin ont été détectées sur Google Play. Le malware proposait aux propriétaires d'appareils mobiles de télécharger et installer différentes applications. De plus, il était capable de télécharger des logiciels. Fonctions caractéristiques d’Android.DownLoader.658.origin:

• intégré à des applis inoffensives,
• utilise ses fonctions malveillantes uniquement si un certain nombre de conditions sont remplies (par exemple, s'il n'est pas lancé dans un émulateur ou que les fonctions destinées aux développeurs sont désactivées),
• Il peut afficher des notifications proposant de télécharger et installer un programme particulier,
• pour protéger le Trojan contre la détection et l'analyse, ses auteurs utilisent un logiciel de compression spécifique qui est détecté par Dr.Web Antivirus comme Android.Packed.1.

Trojans bancaires

Android.Banker.202.origin a été détecté sur GP dissimulé derrières des applications inoffensives. Après son lancement, il extrait et lance le programme Android.Banker.1426. Ce cheval de Troie télécharge sur son serveur de contrôle un malware bancaire appartenant à la famille Android.BankBot conçu pour voler les noms d'utilisateur, mots de passe et autres informations confidentielles.

Un schéma similaire a été appliqué dans un certain nombre de Trojans de la famille Android.Banker qui ont également été détectés sur Google Play au mois de novembre. Ils extrayaient et exécutaient un composant malveillant caché qui a sont tour, extrayait de ses ressources et lançait un autre composant. Ce dernier téléchargeait sur le serveur de contrôle et tentait de lancer un des Trojans bancaires.

La détection d'un grand nombre d'applications malveillantes sur Google Play témoigne que les pirates trouvent toujours des moyens pour contourner ses mécanismes de protection. Pour protéger les appareils mobiles des Trojans et autres programmes indésirables, les propriétaires de Smartphones et tablettes peuvent installer les produits antivirus Dr.Web pour Android.