Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de décembre 2023

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en décembre 2023, ce sont les chevaux de Troie publicitaires de la famille Android.HiddenAds qui ont le plus circulé, même si, dans le même temps, nos statisticiens ont enregistré une baisse de leur activité de 54 % par rapport au mois précédent. Le nombre d'attaques de chevaux de Troie bancaires et de logiciels espions a diminué de quasiment 1 % et 10,8 %, respectivement.

Au cours du mois de décembre 2023, les analystes de Doctor Web ont détecté sur Google Play de nouvelles applications malveillantes contrefaites de la famille Android.FakeApp, ces applis ont été utilisées par des pirates dans différentes schémas frauduleux. Nos experts ont également identifié de nouveaux sites à travers lesquels les attaquants ont distribué de fausses applications de portefeuille crypto.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.Spy.5106

Trojans représentant des versions modifiées de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.

Android.HiddenAds.3831

Android.HiddenAds.3851

Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.

Android.MobiDash.7805

Trojan qui affiche des publicités intempestives. C'est un module de programme que des développeurs de logiciels intègrent dans des applications.

Android.Click.1751

Un cheval de Troie qui est intégré dans des modifications WhatsApp et se fait passer pour une classe de bibliothèque Google. Lors de l'utilisation de l'application dans laquelle il est inséré, Android.Click.1751 envoie des requêtes à un des serveurs de contrôle. En réponse, le cheval de Troie reçoit deux liens, dont l'un est destiné aux utilisateurs russophones, et l'autre à tous les autres. Ensuite, il affiche une boîte de dialogue avec le contenu reçu du serveur et, après que l'utilisateur ait cliqué sur le bouton de confirmation, charge le lien correspondant dans le navigateur.

Program.CloudInject.1

Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations problématiques. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installer et de désinstaller d'autres logiciels, etc.

Program.FakeAntiVirus.1

Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.

Program.wSpy.3.origin

Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.

Program.FakeMoney.7

Détection d'applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.

Program.SecretVideoRecorder.1.origin

Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.

Tool.NPMod.1

Détection des applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.

Tool.LuckyPatcher.1.origin

Utilitaire qui permet de modifier les applications Android installées (créer des correctifs pour elles) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à une base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.

Tool.ApkProtector.16.origin

Applications Android protégées par l'outil de compression ApkProtector. Ce packer n'est pas malveillant, mais les attaquants peuvent l'utiliser pour créer des chevaux de Troie et des programmes indésirables afin de rendre plus difficile leur détection par les antivirus.

Adware.ShareInstall.1.origin

Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.

Adware.Adpush.21846

Adware.AdPush.39.origin

Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Adware.Airpush.7.origin

Représentant de la famille de modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Adware.Fictus.1.origin

Module publicitaire que les pirates intègrent dans des versions clonées de jeux et d'applications Android populaires. Son intégration dans les programmes se fait à l'aide d'un packer spécialisé net2share. Les copies du logiciel ainsi créées sont distribuées via divers répertoires d'applications et affichent des publicités indésirables après l'installation.

Menaces sur Google Play

En décembre 2023, les analystes de Doctor Web ont trouvé sur Google Play de nouveaux Trojans de la famille Android.FakeApp. Notamment, Android.FakeApp.1564 a été diffusé par les pirates sous le couvert d'une appli de registre de dettes. Le Trojan Android.FakeApp.1563 se cachait derrière l'application conçue pour répondre à des enquêtes. Et Android.FakeApp.1569 a été présenté par les fraudeurs comme un outil qui aide à augmenter la productivité et à développer des habitudes utiles.

Tous ces programmes contrefaits téléchargent des sites financiers frauduleux qui copient la conception de véritables sites Web de banques, d'agences de presse et d'autres organisations bien connues. De plus, les vrais noms et logos sont utilisés dans leur conception. Sur ces ressources frauduleuses, les utilisateurs sont invités à devenir investisseurs, à suivre une formation financière, à recevoir une aide financière, etc. Parallèlement, ils sont invités à indiquer leurs données personnelles - prétendument pour enregistrer un compte et accéder aux services correspondants.

Exemples de sites frauduleux téléchargés par les Trojans :

Les applications malveillantes Android.FakeApp.1566, Android.FakeApp.1567 et Android.FakeApp.1568 ont été diffusées sous le couvert de jeux :

Au lieu de lancer des jeux, ces applis pouvaient télécharger des sites de bookmakers et de casinos en ligne, comme indiqué dans l'exemple ci-dessous.

Fonctionnement de l'un de ces chevaux de Troie en mode jeu :

L'un des sites qu'elle a téléchargés :

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Индикаторы компрометации

Votre Android a besoin d'une protection.

Utilisez Dr.Web

• Premier antivirus russe pour Android
• Plus de 140 millions de téléchargements sur Google Play
• Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement