Android/TrojanDownloader.Agent.JI : derrière ce nom étrange, un malware Android particulièrement vicieux

 

Un malware sur Android abuse de la naïveté de certains utilisateurs pour obtenir toutes les autorisations nécessaires pour contrôler les smartphones à leur insu afin de les infecter à loisir. Nous vous expliquons comment il fonctionne.

Les malwares sur Android peuvent être extrêmement pernicieux et pervers. En témoigne le retour récent de HummingWhale, l’un des pires virus n’ayant jamais existé au sein de l’écosystème.

Mais un nouveau cheval de Troie vient d’être détecté par ESET, une entreprise spécialisée dans la sécurité informatique. Et ce malware est également très vicieux et, surtout, très dangereux. Les équipes qui l’ont découvert lui ont donné un nom de code très sobre : Android/TrojanDownloader.Agent.JI.

Ce logiciel malveillant tente de tromper les utilisateurs visés afin de prendre le contrôle de leur téléphone et rappelle à quel point la naïveté est un vilain défaut sur le web. Mais comment fonctionne-t-il ? Pour le savoir, commençons par nous intéresser à son terrain de jeu.

Comment fonctionne-t-il ?

Sans surprise, le malware se loge essentiellement sur des sites pornographiques, mais aussi sur certains réseaux sociaux (dont les noms ne sont pas cités par ESET).

Sur lesdits sites, une fenêtre popup vient interrompre la navigation de l’utilisateur pour l’inciter à télécharger une mise à jour d’Adobe Flash Player pour des raisons de sécurité. L’annonce est évidemment fausse. Elle a toutefois le mérite d’être assez crédible et bien faite. Pour certains, ce qui est affiché à l’écran semble tout à fait vrai.

À ce moment-là, le piège ne s’est pas encore refermé. Néanmoins, une fois la fausse application téléchargée et que l’utilisateur a le malheur de l’ouvrir, il devient tout de suite bien compliqué de s’en sortir. En effet, la plateforme va afficher un écran affirmant que la batterie consomme trop d’énergie.

Et ledit écran refuse de disparaître tant que l’on ne respecte pas les fausses indications préconisées. À ce niveau-là, l’utilisateur commence à s’embourber. S’il suit les instructions, c’en est fini de son smartphone. En effet, le malware explique qu’il faut se rendre dans le menu Accessibilité du terminal.

Un faux onglet dans les paramètres

Là-bas, le logiciel malveillant a créé un faux onglet baptisé  « Saving Battery » en anglais, soit « Économiser de la batterie ». Une liste d’autorisations est alors demandée. Le malware veut ainsi obtenir la permission de savoir quand l’utilisateur utilise une application, de récupérer les informations contenues dans les pages avec lesquelles interagit la victime et de naviguer dans les pages (sans doute pouvoir contrôler l’appareil à distance).

Vous l’aurez compris, le smartphone d’un utilisateur qui s’est fait avoir par tous ces subterfuges est condamné. Car une fois que ces autorisations ont été accordées, le malware lance un écran noir, impossible à passer, indiquant qu’un pilote est en train d’être installé pour faire en sorte que la batterie soit moins gourmande.

C’est faux. En réalité, sous l’écran noir, l’application factice tourne en arrière-plan et contacte ses canaux de commandes et contrôles (serveurs C&C). Par ce biais, il obtient une URL depuis laquelle il va télécharger un virus choisi par le hacker. Cela peut-être n’importe quoi : un logiciel d’espionnage, un adware, un programme pour voler les données bancaires…etc.

Se faire passer pour l’utilisateur

C’est là que toutes les autorisations obtenues au préalable entrent en action. Le malware peut en effet se faire passer pour l’utilisateur sans problème et mener toutes les actions qu’il souhaite. Une fois cette vile et basse besogne achevée, l’écran noir disparaît et la victime peut à nouveau utiliser son terminal normalement… à un détail près : celui-ci est désormais affecté.

Comment se protéger ?

Pour savoir si vous avez été touché par Android/TrojanDownloader.Agent.JI, il suffit d’aller dans « Accessibilité » dans vos paramètres et voir si l’onglet « Économiser de la batterie » apparaît. Si c’est le cas, il faut désinstaller « Flash-Player » dans le gestionnaire d’applications. Dans certains cas, il vous faudra passer par le gestionnaire des droits d’administrateur pour réussir à la supprimer.

Cependant, même après cela, n’hésitez pas à lancer un scan de votre appareil avec un antivirus. Le malware aura en effet sans doute eu le temps d’installer un grand nombre de programmes infectant le smartphone. Vous pouvez aussi suivre notre tutoriel pour être sûr d’avoir un smartphone sûr. Notez d’ailleurs que le malware touche toutes les versions d’Android, même la version 7.0 Nougat.

 


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).