Les logiciels malveillants mobiles récemment découverts peuvent augmenter les factures de téléphone des victimes, ont révélé les professionnels de la cybersécurité d'Avast.

La société antivirus a récemment détecté un malware SMSFactory unique distribué parmi ses clients brésiliens, avec des utilisateurs mobiles en Russie, en Ukraine, en Turquie et en Argentine semblant également être dans le collimateur.

SMSFactory inflige des dégâts en ordonnant au smartphone Android d'envoyer des appels téléphoniques et des SMS à des numéros surtaxés. Il est distribué via des canaux non officiels, ce qui signifie que vous ne trouverez pas SMSFactory sur le Play Store, mais vous le trouverez sur APKMods et PaidAPKFree, deux référentiels d'applications mobiles aux politiques douteuses. Avast affirme également que les attaquants font la promotion de l'application avec des publicités malveillantes, des notifications push, divers pop-ups et sites Web promotionnels, des vidéos, etc.

Parmi les différentes autorisations demandées par l'application, les chercheurs ont également trouvé l'autorisation d'accéder à la liste de contacts (s'ouvre dans un nouvel onglet), il est donc très probable qu'elle utilise la liste pour étendre davantage sa portée. Les autres autorisations demandées incluent les données de localisation, l'autorisation de passer des appels téléphoniques, d'envoyer et de lire des SMS, de verrouiller et de vibrer, de gérer la superposition, d'utiliser le plein écran, de suivre les notifications et de démarrer diverses activités en arrière-plan.

Si ces autorisations n'étaient pas assez grandes pour être un drapeau rouge, l'appareil Android déclenchera également un avertissement lors de l'installation, indiquant à la victime potentielle que l'application est dangereuse. Cependant, beaucoup semblent avoir fermé les yeux sur les avertissements, car l'application compte "des dizaines de milliers" d'installations, a déclaré Avast.

Une fois installée, l'application affichera un message indiquant qu'elle ne fonctionne pas ou que le service n'est pas disponible. Puisqu'il cache son nom et son icône, de nombreux utilisateurs ont du mal à le supprimer ou oublient apparemment qu'ils ont installé quoi que ce soit.

Cependant, l'application continue de fonctionner en arrière-plan, en maintenant sa connexion avec le serveur C2 et en envoyant un profil d'identification du terminal infecté.

Via : BleepingComputer (Ouvre dans un nouvel onglet)

Share