Fin janvier, Kaspersky a découvert un nouveau malware pour Android. L’application malveillante était distribuée sur le Play Store depuis au moins deux semaines et présentait une particularité : au lieu d’infecter Android lui-même, le malware utilisait l’appareil pour installer un cheval de Troie dans Windows. Il a également été capable d’enregistrer des conversations en utilisant le microphone du PC sans que l’utilisateur le sache.
L’application malveillante s’appelait Superclean et promettait de rendre Android plus rapide en terminant certains processus et en libérant la mémoire vive de l’appareil. Les chercheurs de Kaspersky ont découvert qu’il a effectivement tenu ses promesses, mais qu’il a également exécuté un code qui a copié trois fichiers sur la carte mémoire : autorun.inf, folder.ico et svchosts.exe.
Une fois que l’utilisateur a connecté Android à l’ordinateur en mode de stockage de masse, Windows pouvait automatiquement exécuter svchosts.exe et infecter la machine avec Backdoor.MSIL.Ssucl.a. Cet exécutable imite le nom d’un processus Windows légitime, svchost.exe, et le processus d’infection est très similaire aux virus des clés USB qui sévissaient il y a quelques années.
En plus d’infecter Windows, l’exécutable possède dans son code source une bibliothèque appelée NAudio. Cette bibliothèque permet à Superclean d’utiliser le microphone du PC pour enregistrer toutes les activités de l’utilisateur sans que celui-ci le sache. L’audio a été automatiquement envoyé à un serveur FTP distant ? on ne peut pas dire ce qui a été fait des enregistrements, mais le simple fait que l’application envoie des conversations privées sans autorisation est déjà un gros problème.
Superclean a été publié dans Google Play par un développeur appelé Smart.Apps le 3 janvier, obtenant plus de 1 000 installations, 23 évaluations et une note moyenne de 4,5 étoiles. Une application appelée DroidCleaner a fonctionné de la même manière et a également été soumise par Smart.Apps, mais avait une description différente et était moins populaire. Heureusement, les deux ont déjà été retirés du magasin.
