le 7 novembre 2014

Les spécialistes de Doctor Web ont détecté un Trojan intégré à l'image de l’OS de plusieurs appareils mobiles sous Android. Le logiciel malveillant, baptisé Android.Becu.1.origin est capable de télécharger, installer et supprimer à l'insu de l'utilisateur les logiciels, ainsi que bloquer les SMS entrants.

Ce logiciel malveillant représente une menace composée de plusieurs modules. Le composant principal d’Android.Becu.1.origin est un fichier apk avec le nom Cube_CJIA01.apk, qui est placé dans le répertoire système et possède la signature numérique du système d'exploitation ce qui lui offre les privilèges presque illimités et la possibilité d'agir sans intervention de l'utilisateur. De plus, le fait que ce logiciel malveillant soit intégré au firmware rend difficile sa suppression à l'aide des moyens standards.

Le Trojan se lance au démarrage de l'appareil ou chaque fois que l'utilisateur reçoit un SMS. A chacun de ces événements, Android.Becu.1.origin télécharge depuis le serveur de gestion un bloc de données cryptées, qui sera sauvegardé après le déchiffrement sous le nom uac.apk dans le répertoire du Trojan et lancé dans la mémoire vive à l'aide du DexClassLoader. Puis le Trojan lance le deuxième composant uac.dex, stocké dans le même répertoire. Ces modules assurent le téléchargement, l’installation et la suppression des applications sur commande du serveur de gestion.

Après l'activation de ces composants, le Trojan vérifie la présence de son troisième module, inclus dans le package com.zgs.ga.pack. S’il n’est pas présent, le malware le télécharge et l’installe sur l'appareil. Ce module enregistre l'appareil mobile infecté sur le serveur des malfaiteurs afin de fournir les données sur les copies actives d’Android.Becu.1.origin. Si un ou plusieurs modules du Trojan sont supprimés par l'utilisateur, le fichier principal du Trojan pourra les restaurer en répétant l'installation.

En plus de son but principal (travail avec les applications), le malware peut bloquer les SMS entrants de certains numéros.

Selon les statistiques de Doctor Web, cette menace est présente dans plusieurs modèles d’appareils mobiles sous Android à prix modéré, à savoir : UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 et quelques autres. La façon la plus probable dont Android.Becu.1.origin infecte les appareils est la distribution de firmwares modifiés que les utilisateurs téléchargent eux-mêmes, ainsi que l'installation de ces images de l'OS par les fournisseurs des appareils mobiles appartenant aux groupes criminels.

Comme Android.Becu.1.origin est placé directement au sein du système d'exploitation, sa suppression par les moyens standards est difficile, c'est pourquoi il est recommandé de le " geler " dans le menu de gestion des applications. Pour ce faire, il faut trouver le fichier principal du Trojan dans la liste des applications installées (le package com.cube.activity) et cliquer sur « Désactiver ». L'application malveillante devient alors inactive. Puis il faut supprimer les composants auxiliaires du Trojan (les package com.system.outapi et com.zgs.ga.pack), qui pouvaient être déjà installés.

Il existe deux autres moyens, plus radicaux, pour supprimer Android.Becu.1.origin. Sa suppression manuelle si l'accès root est disponible et l'installation d'une nouvelle image " saine " du système d'exploitation. Le second cas induit la perte de toutes les données sur l'appareil mobile. Ces derniers moyens " menacent " le fonctionnement de l'appareil, c'est pourquoi seuls les utilisateurs expérimentés peuvent les utiliser en sauvegardant préalablement les données importantes.

Les produits antivirus Dr.Web pour Android et Dr.Web pour Android Light détectent cette menace, c'est pourquoi ile est recommandé aux utilisateurs de lancer le scan complet afin de vérifier la présence du Android.Becu.1.origin et ses composants sur les appareils mobiles sous Android.