Les malwares sur Android peuvent être extrêmement pernicieux et pervers. En témoigne le retour récent de HummingWhale, l’un des pires virus n’ayant jamais existé au sein de l’écosystème.
Mais un nouveau cheval de Troie vient d’être détecté par ESET, une entreprise spécialisée dans la sécurité informatique. Et ce malware est également très vicieux et, surtout, très dangereux. Les équipes qui l’ont découvert lui ont donné un nom de code très sobre : Android/TrojanDownloader.Agent.JI.
Ce logiciel malveillant tente de tromper les utilisateurs visés afin de prendre le contrôle de leur téléphone et rappelle à quel point la naïveté est un vilain défaut sur le web. Mais comment fonctionne-t-il ? Pour le savoir, commençons par nous intéresser à son terrain de jeu.
Comment fonctionne-t-il ?
Sans surprise, le malware se loge essentiellement sur des sites pornographiques, mais aussi sur certains réseaux sociaux (dont les noms ne sont pas cités par ESET).
Sur lesdits sites, une fenêtre popup vient interrompre la navigation de l’utilisateur pour l’inciter à télécharger une mise à jour d’Adobe Flash Player pour des raisons de sécurité. L’annonce est évidemment fausse. Elle a toutefois le mérite d’être assez crédible et bien faite. Pour certains, ce qui est affiché à l’écran semble tout à fait vrai.
À ce moment-là, le piège ne s’est pas encore refermé. Néanmoins, une fois la fausse application téléchargée et que l’utilisateur a le malheur de l’ouvrir, il devient tout de suite bien compliqué de s’en sortir. En effet, la plateforme va afficher un écran affirmant que la batterie consomme trop d’énergie.
Et ledit écran refuse de disparaître tant que l’on ne respecte pas les fausses indications préconisées. À ce niveau-là, l’utilisateur commence à s’embourber. S’il suit les instructions, c’en est fini de son smartphone. En effet, le malware explique qu’il faut se rendre dans le menu Accessibilité du terminal.
Un faux onglet dans les paramètres
Là-bas, le logiciel malveillant a créé un faux onglet baptisé « Saving Battery » en anglais, soit « Économiser de la batterie ». Une liste d’autorisations est alors demandée. Le malware veut ainsi obtenir la permission de savoir quand l’utilisateur utilise une application, de récupérer les informations contenues dans les pages avec lesquelles interagit la victime et de naviguer dans les pages (sans doute pouvoir contrôler l’appareil à distance).
Vous l’aurez compris, le smartphone d’un utilisateur qui s’est fait avoir par tous ces subterfuges est condamné. Car une fois que ces autorisations ont été accordées, le malware lance un écran noir, impossible à passer, indiquant qu’un pilote est en train d’être installé pour faire en sorte que la batterie soit moins gourmande.
C’est faux. En réalité, sous l’écran noir, l’application factice tourne en arrière-plan et contacte ses canaux de commandes et contrôles (serveurs C&C). Par ce biais, il obtient une URL depuis laquelle il va télécharger un virus choisi par le hacker. Cela peut-être n’importe quoi : un logiciel d’espionnage, un adware, un programme pour voler les données bancaires…etc.
Se faire passer pour l’utilisateur
C’est là que toutes les autorisations obtenues au préalable entrent en action. Le malware peut en effet se faire passer pour l’utilisateur sans problème et mener toutes les actions qu’il souhaite. Une fois cette vile et basse besogne achevée, l’écran noir disparaît et la victime peut à nouveau utiliser son terminal normalement… à un détail près : celui-ci est désormais affecté.
Comment se protéger ?
Pour savoir si vous avez été touché par Android/TrojanDownloader.Agent.JI, il suffit d’aller dans « Accessibilité » dans vos paramètres et voir si l’onglet « Économiser de la batterie » apparaît. Si c’est le cas, il faut désinstaller « Flash-Player » dans le gestionnaire d’applications. Dans certains cas, il vous faudra passer par le gestionnaire des droits d’administrateur pour réussir à la supprimer.
Cependant, même après cela, n’hésitez pas à lancer un scan de votre appareil avec un antivirus. Le malware aura en effet sans doute eu le temps d’installer un grand nombre de programmes infectant le smartphone. Vous pouvez aussi suivre notre tutoriel pour être sûr d’avoir un smartphone sûr. Notez d’ailleurs que le malware touche toutes les versions d’Android, même la version 7.0 Nougat.
Pour aller plus loin
9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)
Ah bon? Ah ba j'hésitais à l'installer tu m'as convaincu allez hop! :)
Mdr j'ai pensé à la même chose. Et on a droit au "étrange" bien bip dans le titre ?
oui mais malheureusement, nombreux sont les gens qui ont biberonné au flash pendant des lustres, qui du coup, ignorent que le flash c'est mort depuis quelques années déjà...
tu coches la case, tu installes, puis tu décoches. Au moins ça limite un peu. On peut faire pareil pour les apps de l'amazon store.
http://gifrific.com/wp-content/uploads/2014/07/Ill-Be-Back-Terminator.gif
Non, juste être un poil naïf ou complètement paumé face aux nouvelles technologies. Malheureusement c'est le cas d'une certaine partie de la population, qui n'est pas débile complet pour autant. Il faut peser ses mots et prendre en compte les différences de chacun ;)
Faux, t'as pas regardé Terminator ? Ils y étaient presque
La faille qui ne pourra jamais être patchée, c'est l'utilisateur.
Sérieux, derrière "TrojanDownloader.Agent" se cache un malware ? :O
Ya encore des gens qui ce font pièger par les fausse maj de adobe player ? En plus coupler à "votre smartphone consomme trop de batterie, télécharger cette appli venu de nul par et qui demande un tas d'autorisation"!!!
C'est impossible... Le virus emploie des voies tout à fait légitimes pour s'installer puisqu'il demande l'approbation à l'utilisateur. Une application bien utile pourrait employer les mêmes procédés.
Déjà c'est un "malware" tout court pas un "malware Android" et de plus faut être vraiment naze pour croire qu'on reçois une mise à jour via un explorateur sous Android étant donner que les mises à jours se font partie du Playstore . Et ESET (l'antivirus que j'utilise sur PC) Alias ESET Nod32 LE meilleurs antivirus informatique . Apparemment Nod32 vient d'arriver sur Android mais étant donner que j'utilise pas d'antivirus sur l'OS mobile je ne l'ai donc pas encore essayer .
Vous exagérez, ça fait un mois que je l'ai et ça économise un peu la batterie quand même ?
Simple, tu coches la case, tu prends un risque sur ton téléphone et tu prends un risque sur la route ?
Oui mais un truc qui percute le cerveau de l'utilisateur λ très clairement puisque c'est celui qui est susceptible de se faire avoir par des trucs aussi gros...
Il y a tout de même un avertissement lorsqu'on coche la case, donc après... c'est la responsabilité de l'utilisateur
Bien sur. Je me suis mal exprimé. J'espère que Google pourra éventuellement dégager le virus. À moins que ce soit impossible...
Et mon waze avec les radars, je fais comment pr l'installer après moi ! ?
Il suffit juste de pas cocher la case "sources inconnues" dans l'onglet "sécurité" D'ailleurs cette option devrait être protégée par un gros popup : "SI VOUS COCHEZ CETTE OPTION VOUS FAITES UNE GROSSE CONNERIE"
J'espère que Google va vite proposer une mise à jour contre ce malware parce que malgré tout, c'est quand même impressionnant... Et flippant. Les gens qui ont conçu ce virus sont très intelligent mais très mal intentionnés aussi...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix