Venus : le malware sous Android qui vous abonne à des services à votre insu ! (Joker, le retour au féminin...)

Le 3 Septembre 2019, Aleksejs Kuprins (via medium.com) nous alertait sur les dangers du malware Joker, un botware qui, outre la subtilisation de données sensibles, permettait à un individu malveillant de faire souscrire à sa victime des abonnements ou prestations à la semaine via des contenus "premium" mais sans que la dite victime en est connaissance. Si les 24 applications vérolées en découlant ont été retirés du Play Store par Google, il semble que le modus operandi soit réapparu sous les traits aguicheurs de Venus ; toujours sous Android.

 

Tout comme Joker, l'ensemble se fait par l'entremise d'un navigateur - cachée - qui permet d'actionner des clics. L'action prend son sein depuis un fichier DEX où est instillé le code frauduleux, par l'entremise d'une librairie nommée "libjiagu" (éditée par la Cie Qihoo). Le moment venu, le malware s'initialise et opère un C&C (Command and Control) se qui permettra, en finalité, de charger le javascript ainsi que les redirections d'URLs (malveillantes) contenant les abonnements premium (cachées) ou les sites Web renvoyant à de la publicité, pour la partie adware.

La liste des 8 applications concernées (à désinstaller d'urgence, donc !) :

  • Cody ToDo List,
  • Kevin Quick App,
  • Book Keeping Mini,
  • Chaos Compass,
  • Noodle Athena,
  • XStudio Cool Flashlight,
  • A1188 et,
  • Geek Cool QR Code.

 

Les deux premières applications auraient été installées plus de 100 000 fois, selon les révélations d'Evina (depuis Octobre, au minimum). Venus aurait ainsi ciblé des pays tels que la Belgique, la France, l'Allemagne, la Guinée, le Maroc, les Pays-Bas, la Pologne, le Portugal, le Sénégal, l'Espagne ou encore la Tunisie... A veiller !

 

Source : Evina - 10 Décembre 2019 - Venus : malware installant des abonnements (facturation à l'insu de l'utilisateur) et combinant un adware.