Doctor Web présente son Rapport viral sur les menaces ayant ciblé les appareils mobiles au cours du mois de Janvier 2024

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, en janvier 2024, les utilisateurs ont rencontré le plus souvent des chevaux de Troie publicitaires, ces Trojans appartenaient à la famille Android.HiddenAds. Par rapport au mois de décembre 2023, on constate une augmentation de leur diffusion de 50%. Dans le même temps, l'activité d'une autre famille populaire de chevaux de Troie publicitaires, Android.MobiDash, est restée pratiquement inchangée.

Le nombre d'attaques par des Trojans bancaires a augmenté de 17%, les deux familles de malwares les plus répandus étant la famille des espions Android.Spy et celle des rançongiciels Android.Locker.

Dans le même temps, nos experts ont identifié de nouvelles menaces dans le catalogue Google Play. Parmi elles, une nouvelle famille de modules publicitaires indésirables Adware.StrawAd, ainsi que des Trojans de la famille Android.FakeApp. Ces derniers sont utilisés par les attaquants pour mettre en œuvre toutes sortes de stratagèmes frauduleux.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.HiddenAds.3851

Android.HiddenAds.3831

Trojans conçus pour afficher des publicités. Les représentants de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.

Android.Spy.5106

Android.Spy.4498

Trojan, qui est une version modifiée de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.

Android.MobiDash.7805

Trojan qui affiche des publicités intempestives. C'est un module que des développeurs de logiciels intègrent à des applications.

Program.CloudInject.1

Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données virales Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre l'installation et désinstaller d'autres logiciels, etc.

Program.FakeAntiVirus.1

Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète du faux antivirus.

Program.wSpy.3.origin

Logiciel espion commercial conçu pour surveiller secrètement les propriétaires d'appareils Android. Il permet aux pirates de lire la correspondance de l'utilisateur (messages dans les messageries instantanées populaires et SMS), d'écouter l'environnement, de suivre l'emplacement de l'appareil, de suivre l'historique du navigateur Web, d'accéder au répertoire téléphonique et aux contacts, aux photos et aux vidéos, de prendre des captures d'écran et des photos via l'appareil photo, et dispose également d'une fonction d'enregistreur de frappe.

Program.FakeMoney.7

Détection d'applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.

Program.TrackView.1.origin

Détection d'une application qui permet de surveiller les utilisateurs via des appareils Android. Ce programme permet aux pirates de déterminer les coordonnées des appareils cibles, d'utiliser la caméra pour enregistrer des vidéos et créer des photos, d'écouter via le microphone, de créer des enregistrements audio, etc.

Tool.NPMod.1

Applications Android modifiées à l'aide de l'utilitaire NP Manager. Un module spécialisé a été introduit dans ces programmes, ce qui permet de contourner la vérification de la signature numérique après leur modification.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.6.origin

Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.

Tool.LuckyPatcher.1.origin

Utilitaire qui permet de modifier les applications Android installées (créer des correctifs) afin de changer la logique de leur fonctionnement ou de contourner certaines restrictions. Notamment, avec son aide, les utilisateurs peuvent essayer de désactiver la vérification de l'accès root dans les programmes bancaires ou obtenir des ressources illimitées dans les jeux. Pour créer des correctifs, l'utilitaire télécharge des scripts spécialement préparés sur Internet, que n'importe qui peut créer et ajouter à la base de données commune. La fonctionnalité de ces scripts peut également être malveillante, c'est pourquoi les correctifs créés peuvent constituer un danger potentiel.

Adware.StrawAd.1

Applications Android contenant le module intégré indésirable Adware.StrawAd.1.origin. Lorsque l'utilisateur déverrouille l'écran de son appareil Android, ce module affiche les annonces de différents fournisseurs de services publicitaires.

Adware.AdPush.39.origin

Adware.Adpush.21846

Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent être similaires aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.

Adware.Airpush.7.origin

Représentant d’une famille de modules intégrés à des applications Android et affichant différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Adware.ShareInstall.1.origin

Module publicitaire pouvant être intégré dans des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage du système d'exploitation Android.

Menaces sur Google Play

Début janvier 2024, le laboratoire de Doctor Web a identifié un certain nombre de jeux dans le catalogue Google Play qui contenaient une plateforme publicitaire indésirable Adware.StrawAd.1.origin:

• Crazy Sandwich Runner
• Purple Shaker Master
• Poppy Punch Playtime, Meme Cat Killer
• Toiletmon Camera Playtime
• Finger Heart Matching
• Toilet Monster Defense
• Toilet Camera Battle
• Toimon Battle Playground

Cette plateforme est un module spécialisé qui est stocké sous forme cryptée dans un répertoire avec les ressources des programmes porteurs. Lorsque l'écran est déverrouillé, il peut afficher des annonces de différents fournisseurs de services publicitaires. Dr.Web détecte les applications contenant Adware.StrawAd.1.origin comme des représentants de la famille Adware.StrawAd.

Également en janvier, nos spécialistes ont détecté un certain nombre de programmes malveillants contrefaits de la famille Android.FakeApp. Ainsi, le Trojan Android.FakeApp.1579 a été dissimulé derrière l'application Pleasant Collection, déguisée en lecteur de bandes dessinées.

Sa seule tâche, cependant, était de télécharger des ressources Internet frauduleuses. Parmi elles on pouvait trouver des sites donnant prétendument l'accès à certains jeux, y compris, notamment dans la catégorie « adulte ». Un exemple en est présenté ci-dessous.

Dans ce cas, la victime potentielle est invitée à répondre à plusieurs questions avant le « début » du jeu, après quoi elle est invitée à fournir des données personnelles, puis des données de carte bancaire - prétendument pour vérifier son âge.

Parmi les représentants identifiés de la famille Android.FakeApp figuraient à nouveau des programmes distribués sous le couvert de jeux. Ils ont été ajoutés à la base de données virales Dr.Web comme Android.FakeApp.1573, Android.FakeApp.1574, Android.FakeApp.1575, Android.FakeApp.1577 et Android.FakeApp.32.origin.

Sous certaines conditions, ces programmes conntrefaits pouvaient télécharger des sites de casinos et de bookmakers en ligne. Un exemple de leur fonctionnement en tant que jeux :

Un exemple de l'un des sites qu'ils ont téléchargés :

Le téléchargement de sites de casino en ligne et de bookmakers était également la tâche de plusieurs autres chevaux de Troie. Ainsi, Android.FakeApp.1576 a été dissimulé derrière le programme de formation au maquillage Contour Casino Glam et dans l'outil de création de mèmes Fortune Meme Studio. Et Android.FakeApp.1578 a été intégré à une application de lampe de poche appelée Lucky Flash Casino Light.

Après l'installation, ils fonctionnaient comme des applications inoffensives, mais après un certain temps, ils pouvaient commencer à télécharger des sites cibles.

De plus, les attaquants ont distribué des versions de Trojans Android.FakeApp.1564 et Android.FakeApp.1580 sous le couvert d'applications financières, de programmes de participation à des enquêtes, d'annuaires et d'autres applis.

Ces programmes téléchargent des sites Web financiers frauduleux où divers services sont proposés en usurpant le nom de sociétés connues. Pour accéder à un service en particulier, les internautes sont tenus de remplir une enquête et d'enregistrer un compte, en fournissant des données personnelles.

Exemples de sites :

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission

Votre Android a besoin d'une protection.

Utilisez Dr.Web

• Premier antivirus russe pour Android
• Plus de 140 millions de téléchargements sur Google Play
• Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement