Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : rapport trimestriel sur les menaces mobiles

le 1 juillet 2024

Selon les statistiques de détection de Dr.Web pour les appareils mobiles Android, au deuxième trimestre 2024, les utilisateurs ont été surtout impactés par des chevaux de Troie publicitaires de la famille Android.HiddenAds et Android.FakeApp, que les attaquants utilisent dans la mise en œuvre de divers stratagèmes frauduleux. Le malware de cette famille le plus souvent rencontré est Android.FakeApp.1600, qui a été détecté fin mai.. Ce cheval de Troie est distribué via des sites malveillants, à partir desquels il est téléchargé sous le couvert d'une application de jeu de casino en ligne. Ses visiteurs sont invités à jouer à un jeu de type « roue de la chance », mais lorsqu'ils essaient de le faire, ils sont redirigés vers une page contenant un formulaire d'inscription. Le nombre élevé de détections de ce programme malveillant peut s'expliquer par le fait que les attaquants en font la publicité dans d'autres applications. Après avoir cliqué sur la pub, les utilisateurs accèdent au site malveillant correspondant à partir duquel le cheval de Troie est téléchargé.

Les malwares espions de type Android.Spy ont également été souvent retrouvés dans les détections.

Au cours du deuxième trimestre, le laboratoire de Doctor Web a révélé de nouvelles menaces sur Google Play dont différents programmes contrefaits Android.FakeApp, ainsi que le programme indésirable Program.FakeMoney.11, qui prétend convertir des récompenses virtuelles en argent réel. De plus, les attaquants ont de nouveau distribué via Google Play un cheval de Troie qui abonnait les victimes à des services payants.

Selon les données fournies par les produits antivirus Dr.Web pour Android

Android.FakeApp.1600
Cheval de Troie qui télécharge un site Web indiqué dans ses paramètres. Les modifications connues de cette application malveillante téléchargent un site Web de casino en ligne.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989
Trojans conçus pour afficher des publicités. Les représentant de cette famille sont diffusés sous couvert d'applications inoffensives et, dans certains cas, sont installés dans le répertoire système par d'autres malwares. Une fois sur les appareils Android, ces chevaux de Troie publicitaires masquent généralement leur présence dans le système, notamment, ils « masquent » l'icône de l'application dans le menu de l'écran d'accueil.
Android.Spy.5106
Trojans représentant des versions modifiées de versions non officielles de l'application WhatsApp. Ce programme peut voler le contenu des notifications, proposer d'installer des programmes provenant de sources inconnues et, lors de l'utilisation de la messagerie, afficher des boîtes de dialogue avec un contenu personnalisable à distance.
Program.CloudInject.1
Applications Android modifiées à l'aide du service CloudInject et de l'utilitaire Android du même nom (ajouté à la base de données de virus Dr.Web sous le nom de Tool.CloudInject). Ces programmes sont modifiés sur un serveur distant, tandis que l'utilisateur (moddeur) intéressé à les changer ne contrôle pas ce qui y sera intégré. De plus, les applications reçoivent un ensemble d'autorisations considérées comme dangereuses. Après la modification, l'utilisateur qui fait du modding (moddeur) reçoit une possibilité de contrôler à distance ces programmes — les bloquer, afficher des boîtes de dialogue personnalisées, suivre le fait d'installation et de désinstaller d'autres logiciels, etc.
Program.FakeMoney.11
Applications qui permettent prétendument de gagner de l'argent en effectuant certaines actions ou tâches. Elles imitent l'accumulation de récompenses, alors que pour retirer l'argent « gagné », il est nécessaire d'accumuler un certain montant. Même lorsque les utilisateurs réussissent, ils ne reçoivent rien.
Program.FakeAntiVirus.1
Programmes publicitaires imitant le fonctionnement des logiciels antivirus. Ces programmes peuvent signaler des menaces inexistantes et tromper les utilisateurs en demandant de payer une version complète.
Program.TrackView.1.origin
Application qui permet de surveiller les utilisateurs via des appareils Android. Avec ce programme, les attaquants peuvent déterminer l'emplacement des appareils ciblés, utiliser la caméra pour enregistrer des vidéos et créer des photos, écouter via le microphone, créer des enregistrements audio, etc.
Program.SecretVideoRecorder.1.origin
Détection de différentes versions de l'application conçue pour la prise de photos et de vidéos en tâche de fond via les caméras embarquées des appareils Android. Cette appli peut fonctionner discrètement en permettant de désactiver les notifications sur l'activation de l'enregistrement ainsi que modifier l'icône et la description de l'application. Cette fonctionnalité rend ce programme potentiellement dangereux.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Plateformes potentiellement dangereuses qui permettent aux applications de lancer des fichiers APK sans les installer. Ces plateformes créent un environnement d'exécution virtuel dans le contexte des applications dans lesquelles elles sont intégrées. Les fichiers APK lancés avec leur aide peuvent fonctionner comme s'ils faisaient partie de ces programmes et recevoir automatiquement les mêmes autorisations.
Tool.Packer.1.origin
Utilitaire de compression spécialisé destiné à protéger les applications Android contre la modification et contre le reverse engineering. Cet utilitaire n'est pas malveillant mais il peut être utilisé dans le but de protéger des Trojans.
Tool.NPMod.1
Tool.NPMod.2
Applications Android modifiées à l'aide de l'utilitaire NP Manager. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification.
Adware.ModAd.1
Détection de certaines versions modifiées (mods) du messenger WhatsApp, dont la fonction comprend un code inséré qui assure le téléchargement de liens indiqués via l'affichage Web lors de l'utilisation du messenger. Ces adresses Internet sont utilisées pour rediriger les internautes vers des sites annoncés dans la publicité, par exemple, des casinos en ligne et des bookmakers, des sites pour adultes.
Adware.AdPush.39.origin
Adware.Adpush.21846
Modules publicitaires intégrables dans les applications Android. Ils affichent des publicités qui induisent les utilisateurs en erreur. Par exemple, ces notifications peuvent ressembler aux messages du système d'exploitation. De plus, ces modules collectent un certain nombre de données confidentielles, et sont également capables de télécharger d'autres applications et d'initier leur installation.
Adware.ShareInstall.1.origin
Module publicitaire pouvant être intégré à des applications Android. Il affiche des notifications publicitaires sur l'écran de verrouillage de l'OS.
Adware.Airpush.7.origin
Représentant de la famille de modules publicitaires qui sont intégrés dans des applications Android et affichent différentes publicités. Selon leur version et modification, il peut s'agir de publicités, de pop-ups ou de bannières. A l'aide de ces modules, les pirates distribuent souvent des malwares en proposant d'installer des applications. De plus, de tels modules transmettent diverses informations confidentielles à un serveur distant.

Menaces sur Google Play

Au cours du deuxième trimestre 2024, les analystes de Doctor Web ont de nouveau trouvé sur Google Play des Trojans Android.FakeApp. Certains d'entre eux ont été distribués sous couvert de programmes financiers, ainsi que sous couvert d’applications conçues pour la participation à des enquêtes et à des quiz :

Ces applications pouvaient télécharger des sites Web frauduleux sur lesquels les victimes potentielles se voyaient proposer de suivre une formation financière ou de devenir investisseurs pour le compte d'institutions de crédit et de sociétés pétrolières et gazières bien connues. Pour accéder à un « service » en particulier, les utilisateurs devaient répondre à plusieurs questions, après quoi ils devaient indiquer leurs données personnelles.

D'autres Trojans Android.FakeApp ont été dissimulés derrière différents jeux. Sous certaines conditions, au lieu de la fonctionnalité déclarée, ils téléchargeaient des sites Web de bookmakers et de casinos en ligne.

Un autre cheval de Troie de la famille Android.FakeAppAndroid.FakeApp.1607 a été caché dans une collection d'images. Il fournissait les fonctionnalités déclarées, mais pouvait également télécharger des sites de casino en ligne.

Les pirates ont fait passer plusieurs représentants de la famille Android.FakeApp (Android.FakeApp.1605 et Android.FakeApp.1606) pour des programmes de recherche d'emploi. Ces chevaux de Troie téléchargent de fausses listes d'emplois, où il est proposé de contacter l’employeur via des messengers Internet (par exemple, Telegram), ou d'envoyer un CV. Le stratagème a pour objectif d’attirer les utilisateurs dans divers systèmes de revenus douteux.

Nos analystes ont également détecté sur Google Play un autre programme indésirable appartenant à la famille Program.FakeMoney. De telles applications proposent aux utilisateurs d'effectuer diverses tâches et de recevoir des récompenses virtuelles, en promettant une option pour retirer ultérieurement ces récompenses sous forme d'argent réel, ce qui ne se fait jamais. Le but de ces programmes est d'encourager les utilisateurs à utiliser une application le plus longtemps possible pour leur afficher des publicités qui rapportent de l'argent aux développeurs.

Program.FakeMoney.11 est un de ces programmes, pour lequel les utilisateurs reçoivent des récompenses virtuelles pour avoir visionné des publicités dans l'application. En cas de tentative de retirer l'argent « gagné », le programme retarde cette opportunité autant que possible, en définissant en permanence de nouvelles conditions. Si l'utilisateur soumet finalement « avec succès » une demande de retrait, il sera placé dans une « file d'attente » pour que sa demande soit examinée, comme plusieurs autres milliers de « gagnants ».

Le Trojan de la famille Android.HarlyAndroid.Harly.87 a également été détecté sur Google Play. Les applications malveillantes de cette famille abonnent les victimes à des services payants.

Pour protéger vos appareils Android contre les applications malveillantes et indésirables, nous vous recommandons d’installer les produits antivirus Dr.Web pour Android.

Indicateurs de compromission