Jusqu’à présent ils frappaient plutôt les environnements Windows. Dr Web signale de nouveaux virus de type Clippers dans l’environnement Android.
Les « Clippers » sont des chevaux de Troie qui remplacent les numéros de portefeuille électronique dans le presse-papiers lors d'opérations effectuées sur des cryptomonnaies. Ils sont connus depuis longtemps. Ils étaient rares sur d’autres environnements que Windows. En août dernier Dr Web a réalisé une étude sur des programmes malveillants et découvert des clippers spécialement créés pour la plate-forme Android.
Il s’agit de deux modifications d’Android Clipper que l’éditeur a nommé Android Clipper.1.origin. et Android Clipper.2.origin.
Il remplace dans le presse-papiers les numéros des portefeuilles électroniques utilisés dans les systèmes de paiement comme, par exemple, Qiwi, Webmoney (R et Z) et Yandex money ainsi que des portefeuilles utilisés pour effectuer des opérations avec les cryptomonnaies (Bitcoin, Monero, zCash, DOGE, DASH, Blackcoin, Litecoin et Ethereum).
Lorsqu’il est actif le cheval de Troie affiche un message d’erreur et continue à fonctionner discrètement. Masquant son icone sur l’écran d’accueil de l’OS sur l’appareil, il n’est visible que dans les paramètres systèmes de l’appareil dans la section du contrôle des applications installées. Le programme se lance automatiquement au démarrage de l’appareil. Si le trojan détecte qu’il y a un numéro de porte-monnaie électronique dans le presse-papiers, il récupère ce numéro et l’expédie vers le serveur de contrôle avec une requête pour recevoir un numéro de porte-monnaie pirate à insérer dans le presse-papiers à la place du numéro original.
Un auteur très actif
Le créateur de ce trojan est très actif sur les forums pirates et il propose même une option permettant d'envoyer des rapports sur le fonctionnement de son programme malveillant vers l'application Telegram ainsi qu’une possibilité de modifier rapidement les numéros de porte-monnaies insérés dans le presse-papiers en utilisant le protocole FTP. Vu la rapidité de diffusion de ce malware on peut s’attendre à de multiples variantes dans les semaines à venir.