le 21 avril 2015

Les chercheurs de Doctor Web ont détecté un dangereux Trojan qui essaie d'obtenir l'accès root pour télécharger, installer et supprimer des applications à l'insu de l'utilisateur. De plus, ce logiciel malveillant peut recueillir des données sur les appareils mobiles infectés et les envoyer aux malfaiteurs, ainsi qu’afficher des publicités.

Ce nouveau logiciel malveillant, baptisé Android.Toorch.1.origin, se dissimule dans l'application lanterne (flashlight) et peut être distribué par les malfaiteurs via des sites populaires ou à l'aide de modules publicitaires agressifs au sein des applications. Pour qu’ Android.Toorch.1.origin puisse infecter le Smartphone ou la tablette, l'utilisateur doit l'installer. Mais comme il se cache dans un logiciel légitime, la probabilité de son installation augmente significativement. Il est à noter qu’ Android.Toorch.1.origin fonctionne comme l'application lanterne (flashlight).

Après son lancement, ce Trojan se connecte au serveur de gestion et y envoie les données sur l'appareil mobile suivantes :

• heure locale ;
• géolocalisation ;
• identificateur IMEI ;
• ID de l'appareil unique généré par le Trojan ;
• version du Trojan ;
• présence d’un accès root ;
• présence d'une connexion Wi-Fi active ;
• version de l'OS ;
• langue du système ;
• fabricant et modèle de l'appareil ;
• nom du package du Trojan ;
• type de connexion réseau.

Dans le même temps, Android.Toorch.1.origin essaie d'augmenter ses privilèges système jusqu'au niveau root. Pour ce faire, il utilise le package modifié com.apkol.root. En cas de succès, le logiciel malveillant installe dans le répertoire système /system/app l'application NetworkProvider.apk (détectée également sous le nom Android.Toorch.1.origin), stockée dans le package du Trojan et lance le processus système approprié. Certaines versions de ce composant peuvent contenir le module GDataAdapter, qui s'installe dans le même répertoire et assure le fonctionnement continu de NetworkProvider.apk en le relançant en cas d'arrêt.

Le logiciel NetworkProvider.apk contient à son tour un autre composant du Trojan Android.Toorch.1.origin, ajouté à la base virale sous le nom Android.Toorch.2.origin. Il est chargé dans la mémoire vive à l'aide du DexClassLoader et, après son lancement dans le système infecté, il reçoit du serveur de gestion le fichier de configuration qui va déterminer l'activité malveillante. Il peut par exemple informer les malfaiteurs de son lancement, effectuer sa propre actualisation, envoyer des données sur le système infecté (y compris les coordonnées GPS et la liste des applications installées) au serveur distant. Cependant, la fonctionnalité principale de ce module est de télécharger, installer et supprimer des applications sur commande des pirates. Grâce à l'accès root, ces actions se passent à l'insu de l'utilisateur.

Il est à noter qu’ Android.Toorch.1.origin contient la plate-forme publicitaire Adware.Avazu.1.origin, qui affiche des publicités chaque fois que l'utilisateur installe une application. Ce module peut être installé dans le système par certaines modifications du Trojan comme une application au sein du composant Trojan GoogleSettings.apk, parfaitement identique à NetworkProvider.apk.

Le danger important du Trojan Android.Toorch.1.origin est que les applications qu'il installe sont placées dans le répertoire système qui n'est pas analysé lors des scans rapides effectués par les produits Dr.Web pour Android. Ainsi, même si l'application lanterne (flashlight) est supprimée, tous les composants installés dans le système continuent leur activité malveillante, c'est pourquoi l'utilisateur doit lancer un scan complet de l'appareil une fois le Trojan Android.Toorch.1.origin détecté.

Les spécialistes de Doctor Web ont développé un utilitaire spécial qui doit aider les victimes du Trojan Android.Toorch.1.origin à neutraliser tous ses composants additionnels sur les appareils mobiles. Pour traiter les appareils mobiles infectés, l'utilisateur doit télécharger cet utilitaire, l'installer et le lancer, puis suivre les instructions affichées sur l'écran. Il faut noter qu’après la suppression du Trojan, l'accès root devient indisponible, c'est pourquoi l'utilisateur devra les obtenir de nouveau.