le 10 avril 2014

Doctor Web a plusieurs fois informé les utilisateurs sur les Trojans downloader, conçus pour le téléchargement non autorisé d’applications sur les appareils mobiles infectés. Cette activité illégale permet aux malfaiteurs de distribuer leurs logiciels malveillants, ainsi que de gagner de l'argent sur les installations de logiciels légaux. Les nouveaux Trojans découverts par les spécialistes de Doctor Web prouvent cette tendance.

Pour distribuer les Trojans, les malfaiteurs utilisent un dropper, ajouté à la base virale sous le nom Android.MulDrop.18.origin.

Lors de son lancement, ce Trojan décrypte deux packages apk à l'aide dune bibliothèque spéciale, puis en utilisant la méthode DexClassLoader (c'est-à dire à l'insu de l'utilisateur), télécharge dans la mémoire vive les fichiers dex, que l'antivirus Doctor Web détecte sous les noms Android.DownLoader.57.origin et Android.DownLoader.60.origin. Si l'activation est réussie, ces logiciels malveillants établissent la connexion avec les serveurs distants depuis lesquels ils reçoivent la liste des applications qu'il faut installer. Les malfaiteurs changent ces listes de temps en temps. Dans ces listes, les spécialistes ont trouvé des menaces connues et des nouvelles menaces, qui appartiennent aux familles Android.SmsSend et Android.Backdoor. Cela permet aux malfaiteurs de lancer différentes attaques contre les utilisateurs des appareils mobiles sous Android en utilisant plusieurs types de malwares (les Trojans SMS, les Trojans espions). Et il ne faut pas oublier que les malfaiteurs peuvent utiliser ces Trojans downloader pour gagner de l'argent sur le nombre d'installations d’applications légales.

Il est à noter que lorsqu’une application est téléchargée par le Trojan, l'utilisateur doit confirmer son installation. Cependant, il est possible qu’il ne prête pas attention à cette requête et confirme.

Les spécialistes de Doctor Web ont découvert une autre modification du dropper Android.MulDrop.18.origin, qui contient, contrairement à la première version, les Trojans downloaders non cryptés, ajoutés à la base virale sous les noms Android.DownLoader.59.origin et Android.DownLoader.61.origin. Le mécanisme de connexion avec le serveur diffère un peu de celui mis en place dans les malwares Android.DownLoader.57.origin et Android.DownLoader.60.origin, mais l’objectif de ces Trojans n'a pas changé, il reste le téléchargement et l'installation d’applications pour Android.

Les utilisateurs des produits antivirus Dr.Web pour Android sont protégés contre ces menaces.

Protégez votre Appareil Android avec Dr.Web