Перейти к содержимому


Фото

Un Trojan-SMS résistant ciblant Android


  • Please log in to reply
Нет ответов в данной теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 935 Сообщений:

Отправлено 23 Август 2012 - 03:00

Le 23 août 2012

Doctor Web informe les utilisateurs de la propagation d’un trojan chinois Android.SmsSend qui envoie des SMS plus chers que le tarif normal et vole les données personnelles. Ce trojan demande sans cesse accès à la liste des administrateurs du mobile, ce qui peut rendre difficile sa suppression.

A la différence de la plupart des programmes de la famille Android.SmsSend, Android.SmsSend.186.origin pénètre sur les mobiles depuis un dropper contenant le trojan. Dropper Android.MulDrop.5.origin se cache sous les fonds d’écran et comme il n'exige aucune permission supplémentaire de la part de l'utilisateur pour l’installation, celle-ci passe souvent inaperçue.

Suite à son lancement, Android.MulDrop.5.origin affiche un message en chinois proposant d’installer un composant supplémentaire :

Si l’utilisateur accepte, c’est le trojan qui commence son installation.

Pour fonctionner, Android.SmsSend.186.origin exige un accès à toute une série de fonctions mais comme le nom de l’application est «Android 系统服务» (Android System Service), la plupart des utilisateurs parlant le chinois ne le trouveront pas suspect.

Le programme malveillant crée une icône d’application dans le menu principal du mobile et fonctionne en mode service. Suite à son installation, l’application demande de lui accorder des droits administrateur sous prétexte d'économiser la batterie. Compte tenu que le nom d’Android.SmsSend.186.origin ressemble au nom d’une des applications système, la plupart des utilisateurs ne se poseront sans doute pas de question et accorderont les droits administrateur à une application malveillante. Mais si l'utilisateur décide de ne pas accorder ces droits, le trojan continue de les demander sans arrêt.

Sous certaines versions de l'OS Android, si le mobile a déjà été infecté par ce trojan et que celui-ci a alors obtenu les droits administrateurs, il est capable de les récupérer sans l’accord de l'utilisateur. Si l'utilisateur décide de redémarrer le mobile, une fois l'OS lancé, Android.SmsSend.186.origin aura automatiquement les droits administrateurs. Ce scénario est rare, mais tout de même possible et vraiment dangereux.

En plus d’envoyer les SMS plus chers que le tarif normal, le trojan est capable d’envoyer aux malfaiteurs tous les SMS reçus pas le mobile. Il est important de noter que ce trojan, en obtenant les droits administrateur, peut empêcher sa désinstallation, car dès que l’utilisateur veut le désinstaller, celui-ci affiche le menu principal du mobile. C’est la première fois qu’un programme malveillant pour Android peut empêcher sa désinstallation.

Pour supprimer le trojan de l’OS :

  • Tout d’abord il faut supprimer l’application «Android 系统服务» de la liste des administrateurs de l’OS : Sécurité → Choisir les administrateurs.
  • Dès que le trojan perd ses droits d’administrateur il voudra les réobtenir, pour l’en empêcher, il faut stopper son processus depuis le menu Applications → Gestion des applications.
  • Ensuite, vous pouvez supprimer le trojan comme n’importe quelle autre application (Applications → Gestion des applications) ou installer un antivirus qui analysera l’OS et supprimera les objets malveillants .

Comme on l’a déjà dit, Android.SmsSend.186.origin peut empêcher sa désinstallation en renvoyant l’utilisateur au menu d’accueil du mobile. Dans ce cas, il faut ouvrir la liste des applications récemment lancées depuis le bouton « Home » du téléphone puis modifier les configurations récentes du système. Cet algorithme doit être exécuté de nombreuses fois jusqu’à ce que le trojan soit supprimé.

Les utilisateurs du logiciel Dr.Web pour Android sont protégés contre cette menace grâce à la technologie Origins Tracing™, grâce à laquelle le trojan aurait été détecté même sans analyse par le Labo.


[url=http://news.drweb.fr/show/?i=698&c=5]Lire l


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых