android
On trouve régulièrement toute sorte de programmes malveillants qui se présentent sous la forme d’applications inoffensives dans la boutique officielle Google Play Store. Malheureusement, même si la plateforme est très bien surveillée, les modérateurs ne peuvent pas toujours intercepter ces applications avant qu’elles ne soient disponibles. Les chevaux de Troie qui souscrivent des abonnements sont une des propositions courantes. En quelques mots, ils inscrivent l’utilisateur à des services payants sans son accord. Nous avons déjà mentionné les groupes les plus communs lorsque l’on trouve ce genre de cheval de Troie. Nous allons vous en présenter un autre nommé Harly pour sa ressemblance avec le cheval de Troie Jocker qui souscrit des abonnements ; son nom s’inspire de la célèbre anti-héroïne et acolyte du personnage précédent de bandes dessinées. Ces deux chevaux de Troie ont certainement les mêmes origines.
Les dernières nouvelles du cheval de Troie Harly
Depuis 2020, plus de 190 applications infectées par Harly ont été trouvées dans Google Play. On estime que ces applications ont été téléchargées par 4,8 millions d’utilisateurs mais le chiffre réel pourrait être beaucoup plus important.
Exemples d’applications disponibles dans Google Play qui contiennent le programme malveillant Harly
Tout comme les chevaux de Troie Jocker, ceux du groupe Harly imitent les applications légitimes. Comment fonctionnent-ils ? Les escrocs téléchargent des applications ordinaires de Google Play, insèrent un code malveillant puis les téléchargent à nouveau sur Google Play avec un nom différent. Les applications offrent les mêmes fonctionnalités que celles indiquées dans la description pour que les utilisateurs ne se doutent de rien.
D’autres exemples d’applications disponibles dans Google Play qui contiennent le programme malveillant Harly
La plupart des membres du groupe Jocker sont des outils de téléchargement à plusieurs niveaux puisque les serveurs C&C des escrocs leur envoient la charge virale. D’autre part, les chevaux de Troie du groupe Harly possèdent toute la charge virale dans l’application et utilisent diverses méthodes pour la déchiffrer et pour l’exécuter.
Avis laissés par les utilisateurs qui se plaignent des prélèvements effectués
Comment le cheval de Troie Harly souscrit un abonnement
Analysons l’application com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), une lanterne qui a été téléchargée plus de 10 000 fois sur Google Play.
Une application infectée par le cheval de Troie Harly
Une bibliothèque douteuse s’ouvre lorsque l’application est lancée :
Une bibliothèque douteuse
La bibliothèque déchiffre le fichier à partir des ressources de l’application.
Le fichier est déchiffré à partir des ressources de l’application
Curieusement, les créateurs du programme malveillant savent comment utiliser les langages de programmation Go et Rust, mais leurs compétences se limitent au déchiffrement et au chargement du kit de développement logiciel (SDK) malveillant.
Tout comme les autres chevaux de Troie qui souscrivent des abonnements, Harly recueillent des informations sur l’appareil de l’utilisateur, et notamment sur le réseau mobile. Le téléphone de l’utilisateur change de réseau mobile puis le cheval de Troie demande au serveur C&C de configurer la liste des abonnements que l’utilisateur doit souscrire.
Ce cheval de Troie ne fonctionne qu’avec les opérateurs Thai. Ainsi, il vérifie d’abord le MNC (Mobile Network Codes), qui est un identifiant unique des opérateurs réseau, afin de s’assurer qu’ils sont Thai :
Vérification du MNC
Pourtant, pour tester le MNC il utilise le code 46011 de China Telecom. Cet indice et d’autres laissent entendre que les développeurs du programme malveillant sont en Chine.
Test MNC
Le cheval de Troie ouvre l’adresse de l’abonnement dans une fenêtre invisible puis saisit le numéro de téléphone de l’utilisateur en injectant les scripts JS, appuie sur les boutons nécessaires et entre le code de confirmation reçu par SMS. L’utilisateur s’abonne à un service payant sans le savoir.
Une autre fonctionnalité remarquable de ce cheval de Troie est qu’il peut souscrire un abonnement lorsque le processus est protégé par un code reçu par SMS mais aussi par un appel. Dans ce cas, le cheval de Troie appelle un numéro spécifique et confirme l’abonnement.
Nos produits détectent les applications dangereuses décrites comme Trojan.AndroidOS.Harly et Trojan.AndroidOS.Piom.
Comment vous protéger contre les chevaux de Troie qui souscrivent des abonnements
Les boutiques officielles d’applications ne cessent de lutter contre la propagation des fichiers malveillants mais, comme nous l’avons vu, elles n’y arrivent pas toujours. Avant d’installer une application, vous devez lire les avis laissés par d’autres utilisateurs et vérifier son classement sur Google Play. N’oubliez pas que les avis et les notes peuvent avoir été améliorés. Pour protéger vos arrières et éviter d’être victime de ce type de programme malveillant, nous vous conseillons d’installer une solution de sécurité fiable.
Conseils