Le cheval de Troie Harly découvert par Kaspersky, distribué par près de 200 applications Google Play, a été téléchargé plus de 5 millions de fois avec des crédits et des abonnements groupés sans consentement.
Ce n'est pas la première fois qu'une application apparemment légitime a piégé des centaines de milliers, voire des millions d'utilisateurs de la boutique officielle de Mountain View, Google Play. Les experts de Kaspersky ont annoncé cette fois avoir découvert le mal du cheval de Troie Harly, qui a réussi à échapper à la détection par les modérateurs de la plateforme.
Apparemment légitime
Au cours des deux dernières années, plus de 190 applications infectées par le cheval de Troie Harly ont été trouvées sur Google Play. Pris ensemble, ils ont totalisé environ 4,8 millions de téléchargements, bien que ce nombre puisse être plus élevé.
La famille de chevaux de Troie Harly imite les applications légitimes, y insère du code malveillant et les télécharge sur le Google Play Store, mais avec des noms différents. Les applications sont accompagnées de captures d'écran et d'instructions afin que les utilisateurs ne soupçonnent pas les contrefaçons.
Parmi les quelque 200 applications imitées figurent plusieurs mini-jeux équivalents, des outils de traduction, des écrans d'appel colorés et même des lampes de poche.
Les chevaux de Troie jouent prudemment à l'insu de l'utilisateur
Une fois que l'utilisateur lance l'application malveillante, le cheval de Troie commence sa mission et commence à collecter des informations sur l'appareil et le réseau mobile de la victime. De là, le smartphone bascule sur un autre réseau mobile, et le malware demande alors au serveur C&C (rappelez-vous, il ouvre un canal de communication discret entre l'appareil et la plateforme contrôlée par les pirates) de configurer une liste d'enregistrements auxquels vous devez vous abonner.
Harly ouvre alors le lien d'abonnement dans une fenêtre invisible pour le propriétaire du smartphone. Il entre le numéro de téléphone de l'utilisateur depuis ce dernier, qu'il parvient à récupérer un peu plus tôt, en appuyant sur le bouton souhaité et en saisissant le code de confirmation du SMS. Les utilisateurs souscrivent à des abonnements payants à leur insu.
Ce qui est génial avec Harly, c'est qu'il est capable de confirmer un abonnement même s'il doit être vérifié par téléphone. Le cheval de Troie appelle ici un numéro spécifique et confirme l'abonnement.
Les applications infectées fonctionnent toujours !
Il est plus difficile pour les modérateurs du Google Play Store de découvrir ces applications dont les services sont inclus dans leurs descriptions. L'application BinBin Flash qui est censée être une lampe de poche a cette fonctionnalité !
Selon Kaspersky, le cheval de Troie n'est disponible que pour les opérateurs en Thaïlande, mais d'autres indices suggèrent que le développeur du malware est basé en Chine.
Ce conseil peut sembler idiot et futile, mais réfléchissez-y attentivement et lisez toujours un certain nombre de commentaires d'utilisateurs, même s'il y a une note flatteuse, qui alerte souvent les applications illégales que vous trouvez.
Commentaires
Enregistrer un commentaire