Dans ses rapports sur les activités virales sur la toile, en janvier et février 2018, l’éditeur de logiciels antivirus Doctor Web a repéré l’apparition de Trojans ciblant Android et Windows.
En janvier et février, plusieurs incidents de sécurité sur internet ont été signalés par Doctor Web, l’éditeur russe de logiciels antivirus. Il s’agit d’un Trojan (cheval de Troie) ciblant Android, d’un ransomware sous Windows, ainsi que des Trojans miner et espion ciblant l’OS mobile de Google et «infectant des serveurs sous Windows». Dans son rapport viral de janvier 2018, Doctor Web signale la «détection sur le catalogue Google Play de plusieurs jeux embarquant un Trojan qui téléchargeait et lançait des modules malveillants». «Les analystes ont également examiné plusieurs Trojans miners contaminant des serveurs fonctionnant sous Windows. Ils ont tous utilisé une vulnérabilité présente dans le logiciel Cleverence Mobile SMARTS Server» conçu pour «automatiser les processus dans les magasins, entrepôts, institutions et industries», ajoute le rapport. «Les analystes de Doctor Web ont détecté une vulnérabilité «zéro-day» dans ces logiciels au mois de juin 2017 et l’ont signalée aux développeurs qui ont publié une mise à jour de sécurité peu de temps après. Cependant, certains administrateurs système n’ont pas installé cette mise à jour, permettant ainsi aux pirates de continuer à lancer des attaques sur les serveurs vulnérables.» Les pirates «utilisent une commande pour créer un nouvel utilisateur dans le système avec les privilèges administrateur» pour avoir «un accès non autorisé au serveur via le protocole RDP» et pour installer un «Trojan miner». Selon la publication, le Trojan existe déjà en plusieurs versions modifiées et développées. Dès qu’il y a une «tentative de le stopper» le miner affiche «l’écran bleu de la mort (BSOD)». «Après son lancement, le malware destiné à la récolte de crypto-monnaie Monero (XRM) et Aeon tente d’arrêter les processus et de stopper plusieurs logiciels antivirus.» La publication recommande «d’installer toutes les mise à jour de sécurité publiées par les développeurs de Cleverence Mobile SMARTS Server». L’autre menace concernant Windows a pour nom «GranGrab!» de la famille des ransomware. Il s’agit d’un «Trojan Encoder» dont la fonction est de « chiffrer le contenu des disques fixes, amovibles et des lecteurs réseau, puis il attribue aux fichiers chiffrés l’extension GDCB». Au démarrage, le malware tente de repérer l’existence d’un antivirus, avant d’en stopper l’exécution «pour s’installer dans le système». «Après le redémarrage de l’ordinateur, Trojan. Encoder.24384 chiffre les fichiers sur les disques, à l’exception du contenu des dossiers système ou de service».Des jeux infectés sur Android
Les analystes de Doctor Web ont également découvert, en janvier et février, plusieurs menaces ciblant les appareils mobiles Android.
Le Trojan «Android.RemoteCode.127.origin» a été découvert «dans divers jeux pour Android disponibles en téléchargement sur Google Play». Il lance «discrètement des modules malveillants pouvant exécuter différentes actions». Le Trojan bancaire «Android.BankBot.250.origin» «volait des identifiants de comptes sur des banques en ligne». Un «programme miner nommé Android.CoinMine.8» a été également découvert sur Android, et dont la fonction était d’utiliser «les ressources des smartphones et tablettes infectés pour l’extraction de crypto-monnaie Monero». Plusieurs logiciels espions ciblant Android, comme «Android.Spy.422.origin», ont été découverts. En février, Doctor Web a détecté le «Trojan miner Android.CoinMine.15». «Il peut contaminer les smartphones Android connectés à un réseau, ainsi que les tablettes, téléviseurs, routeurs et lecteurs vidéo ayant le mode débug activé. En cas de contamination, le malware tente de détecter d’autres périphériques connectés au réseau et d’installer sa copie sur les appareils détectés.»
A. Z.
