{"id":19501,"date":"2022-09-29T13:28:29","date_gmt":"2022-09-29T11:28:29","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19501"},"modified":"2022-09-29T13:28:29","modified_gmt":"2022-09-29T11:28:29","slug":"harly-trojan-subscriber","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/","title":{"rendered":"Harly : un autre cheval de Troie dans Google Play qui souscrit des abonnements"},"content":{"rendered":"

On trouve r\u00e9guli\u00e8rement toute sorte de programmes malveillants qui se pr\u00e9sentent sous la forme d\u2019applications inoffensives dans la boutique officielle Google Play Store. Malheureusement, m\u00eame si la plateforme est tr\u00e8s bien surveill\u00e9e, les mod\u00e9rateurs ne peuvent pas toujours intercepter ces applications avant qu\u2019elles ne soient disponibles. Les chevaux de Troie qui souscrivent des abonnements sont une des propositions courantes. En quelques mots, ils inscrivent l\u2019utilisateur \u00e0 des services payants sans son accord. Nous avons d\u00e9j\u00e0 mentionn\u00e9<\/a> les groupes les plus communs lorsque l\u2019on trouve ce genre de cheval de Troie. Nous allons vous en pr\u00e9senter un autre nomm\u00e9 Harly pour sa ressemblance avec le cheval de Troie Jocker qui souscrit des abonnements ; son nom s\u2019inspire de la c\u00e9l\u00e8bre anti-h\u00e9ro\u00efne<\/a> et acolyte du personnage pr\u00e9c\u00e9dent de bandes dessin\u00e9es. Ces deux chevaux de Troie ont certainement les m\u00eames origines.<\/p>\n

Les derni\u00e8res nouvelles du cheval de Troie Harly<\/h2>\n

Depuis 2020, plus de 190 applications infect\u00e9es par Harly ont \u00e9t\u00e9 trouv\u00e9es dans Google Play. On estime que ces applications ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9es par 4,8 millions d\u2019utilisateurs mais le chiffre r\u00e9el pourrait \u00eatre beaucoup plus important.<\/p>\n

\"Exemples

Exemples d\u2019applications disponibles dans Google Play qui contiennent le programme malveillant Harly<\/p><\/div>\n

\u00a0<\/p>\n

Tout comme les chevaux de Troie Jocker, ceux du groupe Harly imitent les applications l\u00e9gitimes. Comment fonctionnent-ils\u00a0? Les escrocs t\u00e9l\u00e9chargent des applications ordinaires de Google Play, ins\u00e8rent un code malveillant puis les t\u00e9l\u00e9chargent \u00e0 nouveau sur Google Play avec un nom diff\u00e9rent. Les applications offrent les m\u00eames fonctionnalit\u00e9s que celles indiqu\u00e9es dans la description pour que les utilisateurs ne se doutent de rien.<\/p>\n

\"D'autres

D\u2019autres exemples d\u2019applications disponibles dans Google Play qui contiennent le programme malveillant Harly<\/p><\/div>\n

\u00a0<\/p>\n

La plupart des membres du groupe Jocker sont des outils de t\u00e9l\u00e9chargement \u00e0 plusieurs niveaux<\/a> puisque les serveurs C&C des escrocs leur envoient la charge virale. D\u2019autre part, les chevaux de Troie du groupe Harly poss\u00e8dent toute la charge virale dans l\u2019application et utilisent diverses m\u00e9thodes pour la d\u00e9chiffrer et pour l\u2019ex\u00e9cuter.<\/p>\n

\u00a0<\/p>\n

\"Avis

Avis laiss\u00e9s par les utilisateurs qui se plaignent des pr\u00e9l\u00e8vements effectu\u00e9s<\/p><\/div>\n

\u00a0<\/strong><\/h2>\n

Comment le cheval de Troie Harly souscrit un abonnement<\/h2>\n

Analysons l\u2019application com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), une lanterne qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 10 000 fois sur Google Play.<\/p>\n

\u00a0<\/p>\n

\"Une

Une application infect\u00e9e par le cheval de Troie Harly<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Une biblioth\u00e8que douteuse s\u2019ouvre lorsque l\u2019application est lanc\u00e9e :<\/p>\n

\u00a0<\/p>\n

\"Une

Une biblioth\u00e8que douteuse<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

La biblioth\u00e8que d\u00e9chiffre le fichier \u00e0 partir des ressources de l\u2019application.<\/p>\n

\u00a0<\/p>\n

\"Le

Le fichier est d\u00e9chiffr\u00e9 \u00e0 partir des ressources de l\u2019application<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Curieusement, les cr\u00e9ateurs du programme malveillant savent comment utiliser les langages de programmation Go<\/a> et Rust<\/a>, mais leurs comp\u00e9tences se limitent au d\u00e9chiffrement et au chargement du kit de d\u00e9veloppement logiciel (SDK<\/a>) malveillant.<\/p>\n

Tout comme les autres chevaux de Troie qui souscrivent des abonnements, Harly recueillent des informations sur l\u2019appareil de l\u2019utilisateur, et notamment sur le r\u00e9seau mobile. Le t\u00e9l\u00e9phone de l\u2019utilisateur change de r\u00e9seau mobile puis le cheval de Troie demande au serveur C&C de configurer la liste des abonnements que l\u2019utilisateur doit souscrire.<\/p>\n

Ce cheval de Troie ne fonctionne qu\u2019avec les op\u00e9rateurs Thai. Ainsi, il v\u00e9rifie d\u2019abord le MNC<\/a> (Mobile Network Codes<\/em>), qui est un identifiant unique des op\u00e9rateurs r\u00e9seau, afin de s\u2019assurer qu\u2019ils sont Thai\u00a0:<\/p>\n

\"V\u00e9rification

V\u00e9rification du MNC<\/p><\/div>\n

\u00a0<\/p>\n

Pourtant, pour tester le MNC il utilise le code 46011 de China Telecom. Cet indice et d\u2019autres laissent entendre que les d\u00e9veloppeurs du programme malveillant sont en Chine.<\/p>\n

\u00a0<\/p>\n

\"Test

Test MNC<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Le cheval de Troie ouvre l\u2019adresse de l\u2019abonnement dans une fen\u00eatre invisible puis saisit le num\u00e9ro de t\u00e9l\u00e9phone de l\u2019utilisateur en injectant les scripts JS, appuie sur les boutons n\u00e9cessaires et entre le code de confirmation re\u00e7u par SMS. L\u2019utilisateur s\u2019abonne \u00e0 un service payant sans le savoir.<\/p>\n

Une autre fonctionnalit\u00e9 remarquable de ce cheval de Troie est qu\u2019il peut souscrire un abonnement lorsque le processus est prot\u00e9g\u00e9 par un code re\u00e7u par SMS mais aussi par un appel. Dans ce cas, le cheval de Troie appelle un num\u00e9ro sp\u00e9cifique et confirme l\u2019abonnement.<\/p>\n

Nos produits d\u00e9tectent les applications dangereuses d\u00e9crites comme Trojan.AndroidOS.Harly\u00a0 et Trojan.AndroidOS.Piom.<\/p>\n

\u00a0<\/p>\n

Comment vous prot\u00e9ger contre les chevaux de Troie qui souscrivent des abonnements<\/h2>\n

Les boutiques officielles d\u2019applications ne cessent de lutter contre la propagation des fichiers malveillants mais, comme nous l\u2019avons vu, elles n\u2019y arrivent pas toujours. Avant d\u2019installer une application, vous devez lire les avis laiss\u00e9s par d\u2019autres utilisateurs et v\u00e9rifier son classement sur Google Play. N\u2019oubliez pas que les avis et les notes peuvent avoir \u00e9t\u00e9 am\u00e9lior\u00e9s<\/a>. Pour prot\u00e9ger vos arri\u00e8res et \u00e9viter d\u2019\u00eatre victime de ce type de programme malveillant, nous vous conseillons d\u2019installer une solution de s\u00e9curit\u00e9 fiable<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nous vous expliquons comment le cheval de Troie Harly souscrit des abonnements sans que les utilisateurs Android ne s\u2019en rendent compte.<\/p>\n","protected":false},"author":2492,"featured_media":19511,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[4280,59,161,143],"class_list":{"0":"post-19501","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-abonnement-payant","9":"tag-android","10":"tag-cheval-de-troie","11":"tag-google-play"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/harly-trojan-subscriber\/24633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/harly-trojan-subscriber\/20100\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/harly-trojan-subscriber\/10143\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/harly-trojan-subscriber\/27085\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/harly-trojan-subscriber\/24990\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/harly-trojan-subscriber\/34011\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/harly-trojan-subscriber\/11049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/harly-trojan-subscriber\/45573\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/harly-trojan-subscriber\/32616\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/harly-trojan-subscriber\/28493\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/harly-trojan-subscriber\/25478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/harly-trojan-subscriber\/31046\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/harly-trojan-subscriber\/30738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2492"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19501"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19501\/revisions"}],"predecessor-version":[{"id":19515,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19501\/revisions\/19515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19511"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}