La firme de sécurité russe Doctor Web rapporte que plusieurs applications Android malveillantes envoyant des SMS surtaxés à l’insu de l’utilisateur ont été détectées sur Google Play.
Ces applications sont en réalité de la famille des “trojan downloader” et peuvent installer des trojans de la famille Android.SmsSend, permettant aux pirates d’envoyer délibérément des SMS surtaxés depuis l’appareil mobile des victimes. Bien entendu, ces derniers encaissent d’énormes gains assez rapidement.
Google a été rapidement informé de l’incident. Les applications découvertes appartiennent au développeur vietnamien AppStore Jsc et représentent deux lecteurs audio et lecteurs vidéo pour regarder des clips érotiques.
En se basant sur les statistiques publiques de Google Play, le nombre d’installations varie entre 11 000 et 25 000.
Ces applications dissimulent à l’intérieur des programmes malveillants qui intègrent un fichier APK. Ce mode opératoire est simple, après le téléchargement du contenu de ces applications vient la confirmation qui ouvre le chemin au téléchargement de l’application virale. Ces dernière embarquent un dropper qui propose de recevoir des vidéos érotiques. Après confirmation, un Trojan dénommé ”Android.SmsSend.517” sera installé sur le terminal mobile. Ce cheval de Troie envoie des SMS au numéro 8775, spécifié dans le fichier de configuration du malware.
Concernant les autres applications contenant le programme malveillant ”Android.SmsSend.513.origin” , ils agissent de la même façon que le trojan présenté précédemment mais reçoivent les numéros d’envoi via un serveur de gestion distant, une sorte de C&C en quelques sortes.
La firme russe Doctor Web a informé Google et les utilisateurs des produits antivirus Dr.Web pour Android sont protégés contre ces programmes malveillants, qui ont été rapidement ajoutés à la base virale.
Source : Mag Securs