Les experts en sécurité de Trend Micro ont découvert un site Web proposant plusieurs fausses applications mobiles Skype pour Android. Ces applications contiennent des logiciels malveillants qui fonctionnent sur les anciennes versions des appareils Symbian ou Android. Il est installé avec les applications, permet l’exécution des MIDlets et envoie des messages aux services de paiement sans le consentement de l’utilisateur.
Principe d’attaque via le faux skype
Le site Web http://{BLOCKED}ndroidl.ru propose différentes versions des applications Skype pour Android. Il est hébergé dans un domaine russe, similaire aux sites web qui contenaient de fausses applications Instagram et Angry Birds Space. En tentant de télécharger l’application Skype, les chercheurs en sécurité ont constaté qu’elle était téléchargée à partir d’un autre site Web, http://{BLOCKED}mobile.ne.
De plus, en essayant de télécharger les autres versions de l’application, on obtient le même fichier .JAR (au lieu d’un fichier .APK, ce qui est attendu lors du téléchargement d’une application Android) sur le même site infecté. Ce fichier .JAR (JAVA_SMSSEND.AB) est un MIDLet Java qui se fait passer pour un installateur de Skype pour les plates-formes Android.
S’il appuie sur la touche de fonction droite, le navigateur mobile est redirigé vers l’URL http://{BLOCKED}1.net/?u=1l4zi3m938o80vl. Des SMS sont alors envoyés d’ici à des numéros spécifiques, pour lesquels l’utilisateur concerné doit payer. Bien que la fausse application Skype soit spécialement conçue pour les utilisateurs d’Android, le fichier .JAR malveillant s’exécute également sur les appareils Symbian pré-SIS (Software Installation Script) ou sur certaines versions d’Android utilisant MIDlet. Pour qu’un appareil Android soit en mesure d’exécuter Java MIDlet, les utilisateurs doivent d’abord installer une application qui permet à l’appareil de fonctionner. Ce type d’application est généralement disponible dans les magasins tiers.
Solutions de protection
Les utilisateurs de Trend Micro sont protégés contre ces menaces par le Smart Protection Network, qui détecte et supprime les fichiers .JAR malveillants. Les utilisateurs doivent également toujours lire les avis sur les applications mobiles avant de les télécharger et ne jamais choisir des applications provenant de sites web douteux. De bons conseils et informations sont également fournis dans les livres blancs « When Android Apps Want More Than They Need » et « Five Simple Steps to Protect Your Android-Based Smartphone (PDF) ».