L'éditeur russe Doctor Web alerte sur les premiers trojans détectés sur AppGallery, la boutique officielle de Huawei. Les malveillants faciliteraient notamment l'adhésion à des services mobiles payants.
Plusieurs programmes malveillants ont été découverts sur le store officiel de Huawei, AppGallery. Les découvertes sont l'œuvre des experts de l'éditeur russe Doctor Web, qui évoque des trojans (chevaux de Troie) multifonctionnels « Android.Joker », avec comme fonction principale d'abonner les utilisateurs à des services ou applications mobiles payants. Doctor Web parle d'une dizaine de modifications des trojans de la famille Android.Joker, et des malwares qui auraient ainsi été téléchargés par plus de 538 000 utilisateurs d'Android.
Des malwares diffusées au travers d'applis en apparence inoffensives
La famille de malveillants Android.Joker n'est pas nouvelle, puisqu'elle a été détectée pour la première fois à l'automne 2019, mais elle était surtout connue jusque-là pour sévir sur Google Play. Les modifications des trojans ont été récemment détectées par Doctor Web dans l'environnement Huawei AppGallery, avec des logiciels malveillants repérés, comme souvent sur mobile, au travers d'applications inoffensives.
Les variants d'Android.Joker ont été identifiés dans 10 applications sur le store de Huawei :
- Super Keyboard ;
- Happy Colour ;
- Fun Color ;
- New 2021 Keybord ;
- Camera MX - Photo Video Camera ;
- BeautyPlus Camera ;
- Color Rollinglcon ;
- Funney Meme Emoji ;
- Happy Tapping ;
- All-in-One Messenger.
On a donc ici du clavier virtuel, une messagerie en ligne, un jeu, une application caméra photo, un outil qui gère l'écran d'accueil… Il est important de noter que 8 de ces applications étaient diffusées par le même éditeur, Shanxi kuailaipai network technology co.,ltd, et que les deux autres l'ont été par l'éditeur 何斌.
Au départ, lorsque vous utilisez l'une des applis, tout se passe bien, et toutes répondent aux attentes des utilisateurs, du moins les premiers temps. Cela permet au virus de passer inaperçu suffisamment longtemps pour contaminer un maximum d'appareil.
Huawei a retiré les applications hébergeant les logiciels malveillants dès leur signalement
De quoi les chevaux de Troie Android.Joker sont-ils capables alors ? D'abord, en tant que menaces multifonctionnelles, ils se servent d'applications comme des appâts, applis diffusées par les pirates puis installées par les utilisateurs qui, en naviguant dessus, vont permettre au malware de communiquer avec ses autres composants.
L'application fait donc sa part de boulot, mais les tâches malveillantes principales sont effectuées à l'aide de modules supplémentaires téléchargés sur Internet. En ce qui concerne le variant Android.Joker.531 (utilisé sur 4 des 10 applications citées plus haut), une fois le programme malveillant lancé, les trojans se connectent à leur serveur de gestion et reçoivent des paramètres, le tout sans que l'utilisateur puisse en avoir conscience. Ils téléchargent ensuite un composant et le lancent.
C'est ce composant qui est à l'origine du processus d'abonnement automatique à un service payant pour les utilisateurs d'Android. Et les applications appâts, elles, prennent évidemment soin de demander à l'utilisateur l'accès aux notifications, pour pouvoir intercepter les SMS des services payants (qui contiennent les codes de confirmation des abonnements), ce qui empêche le propriétaire du mobile Android d'avoir connaissance de la fraude. L'autre point négatif ici pour l'utilisateur est la fuite de certaines de ses données sensibles, ce qui concerne en l'occurrence 538 000 utilisateurs.
S'agissant du module de Trojan téléchargé, nommé Android.Joker.242.origin, celui-ci se connecte à un serveur distant et demande également une configuration qui va contenir diverses tâches avec des sites consacrés à des services payants et des scripts JavaScript grâce auxquels ces sites vont pouvoir imiter les activités des utilisateurs.
« Pour que l'abonnement soit activé avec succès, l'appareil contaminé doit être connecté à l’Internet mobile. Android.Joker.242.origin vérifie les connexions en cours, et s’il détecte une connexion Wi-Fi active, il tente de la désactiver » explique Doctor Web. Ensuite, le malware télécharge un JavaScript et s'en sert pour fournir le numéro de téléphone de la cible ainsi que le code PIN de confirmation capté par le module de base (Android.Joker.531), directement dans un formulaire web du site ciblé.
« Dès la réception d'une alerte provenant de la société Doctor Web, Huawei a masqué les applications contenant des logiciels malveillants sur AppGallery pour assurer la sécurité des utilisateurs. La société procèdera à des contrôles supplémentaires afin de minimiser le risque d'apparitions futures de programmes similaires » a réagi l'équipe de comm' de la boutique AppGallery. Quand on vous dit que rien ni personne n'est à l'abri…
Source : Github