Doctor Web a détecté un nouveau backdoor sur Google Play, exécutant les commandes des pirates et leur permettant de gérer à distance les appareils Android atteints ainsi que d’espionner les utilisateurs.
Communiqué – Ce programme malveillant a reçu le nom Android.Backdoor.736.origin. Il est propagé sous couvert de l’application OpenGL Plugin conçu pour vérifier la version de l’interface graphique de OpenGL ES et pour télécharger ses mises à jour.
Au lancement, Android.Backdoor.736.origin demande l’accès à certaines autorisations système importantes qui lui permettent de recueillir des informations confidentielles et d’utiliser le système de fichiers. De plus, il tente d’obtenir un accès à l’affichage de fenêtres par-dessus l’interface d’autres applications.
La fenêtre de cette application malveillante comprend un bouton prétendument destiné à lancer la vérification des mises à jour de l’interface graphique d’OpenGL ES. Une fois le bouton pressé, le Trojan imite un processus de recherche de nouvelles versions d’OpenGL ES, tandis qu’en réalité, il n’effectue aucune vérification.
Après la fermeture de la fenêtre de l’application, Android.Backdoor.736.origin supprime son icône de la liste des applications dans le menu de l’écran d’accueil et crée un raccourci pour son lancement. Ceci est fait pour empêcher l’utilisateur de supprimer le Trojan, puisque la suppression du raccourci n’a aucun impact sur le programme malveillant.
Android.Backdoor.736.origin est toujours actif en arrière-plan et peut être lancé non seulement à l’aide du raccourci mais également de manière automatique lors du démarrage du système, ainsi que sur commande des pirates via Firebase Cloud Messaging. La principale fonctionnalité malveillante du Trojan se trouve dans un fichier complémentaire qui est chiffré et stocké dans le dossier contenant les ressources du programme. A chaque démarrage d’Android.Backdoor.736.origin ce fichier est déchiffré et chargé dans la mémoire.
Le backdoor se connecte à plusieurs serveurs de contrôle depuis lesquels il reçoit des commandes et auxquels il envoie les données collectées. De plus, les cybercriminels peuvent gérer le Trojan via le service Firebase Cloud Messaging. Android.Backdoor.736.origin est capable d’effectuer les actions suivantes :
- transmettre au serveur des informations sur les contacts entrés dans l’appareil contaminé,
- transmettre au serveur des informations sur les SMS (la version examinée du Trojan n’a pas les permissions nécessaires pour cette fonctionnalité),
- transmettre au serveur des informations sur les appels,
- transmettre au serveur des informations sur la géo-position de l’appareil,
- télécharger et exécuter un fichier .apk ou .dex un utilisant la classe DexClassLoader,
- transmettre au serveur des informations sur les applications installées,
- télécharger et lancer un fichier exécutable,
- télécharger un fichier depuis un serveur de contrôle,
- envoyer un fichier indiqué au serveur,
- envoyer au serveur des informations sur les fichiers se trouvant dans un dossier particulier ou sur une carte de mémoire,
- exécuter une commande shell,
- lancer une activité indiquée dans une commande,
- télécharger et installer une application Android,
- afficher une notification indiquée dans une commande,
- demander une autorisation indiquée dans une commande,
- transmettre au serveur une liste de permissions octroyées au Trojan,
- empêcher l’appareil de passer dans le mode veille durant une période indiquée.
Toutes les données envoyées au serveur sont chiffrées par le Trojan selon l’algorithme AES. Chaque demande est protégée par une clé unique qui est générée en fonction de l’heure. La même clé est utilisée pour chiffrer la réponse du serveur.
Android.Backdoor.736.origin est capable d’installer des applications de plusieurs façons :
- automatiquement si le système dispose d’un accès root (en utilisant une commande shell);
- en utilisant le gestionnaire de paquets système (uniquement pour les logiciels système);
- en affichant une boîte de dialogue système relative à l’installation de l’application où l’utilisateur doit accepter l’installation.
Ainsi, cette porte dérobée représente un réel danger. Elle est non seulement capable d’espionner les utilisateurs mais peut également être utilisée à des fins de phishing, car elle est capable d’afficher des fenêtres et des notifications de tout contenu. De plus, elle peut télécharger et installer d’autres applications malveillantes, et exécuter n’importe quel code. Par exemple, sur commande des pirates, Android.Backdoor.736.origin peut télécharger et lancer un exploit pour obtenir les privilèges root, de sorte que plus tard il pourra installer d’autres programme sans demander l’autorisation de l’utilisateur.
Doctor Web a déjà alerté la société Google et au moment de cette publication le trojan a été retiré de Google Play.
Les commentaires sont fermés.