Un ver informatique a récemment touché des hôpitaux israéliens afin de voler des informations sensibles sur certains patients. Selon TrendMicro, il ne s’agissait que d’une partie d’une attaque de plus grande ampleur, accompagnée d’une menace affectant également les terminaux sous Android.
Un malware fantôme
Baptisé GhostCtrl par TrendMicro, le malware en question se divise en trois versions différentes. La première lui permet d’obtenir des droits d’administrateur sur l’appareil, puis arrive la seconde capable de voler des informations et d’agir comme un ransomware, et enfin la troisième qui rend l’ensemble plus opaque et cache ses agissements.
Basé sur OmniRAT, un logiciel capable de contrôler à distance un vaste panel d’appareils sous Android, Windows, Linux ou MacOS, GhostCtrl prend le nom d’applications courantes, des basiques « App » ou « MMS » jusqu’aux plus fourbes « WhatsApp » et « Pokemon GO ». Une fois l’application en question installée, elle demande alors à l’utilisateur d’installer un nouvel APK par le biais d’une pop-up qui réapparaît en boucle tant que l’utilisateur n’a pas accepté l’installation.
Lorsque la porte dérobée a été correctement installée, celle-ci se connecte alors à des serveurs distants par le biais de noms de domaines dynamiques (comme php.no-ip.biz ou ayalove.no-ip.biz) plutôt que par l’IP du serveur, ce qui permet éventuellement aux pirates de changer facilement de serveurs et ainsi être plus difficiles à attraper, sans perdre pour autant le lien avec les appareils déjà infectés.
Un malware très curieux
TrendMicro précise que les données récupérées par GhostCtrl sont très nombreuses en comparaison des malwares habituels. Le malware en question récupère ainsi la version du système, le nom de l’utilisateur, les réseaux Wi-Fi sur lesquels il se connecte, l’état de la batterie, du Bluetooth, les données des différents capteurs, mais aussi l’historique de recherches, les données du navigateur, le fond d’écran, et peut aussi bien accéder à l’appareil photo qu’aux micros du téléphone pour espionner sa victime.
Comme dit plus haut, la seconde version de GhostCtrl peut également agir comme un ransomware en verrouillant l’écran du téléphone et en changeant le mot de passe et peut même rooter le terminal et créer une routine régulière capturant une photo ou une vidéo avant de l’envoyer sur un serveur distant après l’avoir chiffré.
La prudence avant tout
Comme d’habitude, on ne peut donc que vous conseiller d’éviter de télécharger des applications de sources non fiables et de faire les mises à jour de votre smartphone ou de votre tablette dès qu’elles sont disponibles.
Pour aller plus loin
9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
[…] donc bien attention à télécharger vos applications depuis des sources reconnues ! Sources FrAndroid TrendMicro Publié dans Non classéÉtiqueté Android, […]
"celui-ci est capable de voler un grand nombre d’informations" Comme les système Android, Windows, IOS etc...
Cautériser avant de recoudre
C'est évidemment impossible!
Toutes les applications ne se téléchargent pas sur le Play Store, certains préfèrent passer directement par l'APK. Et là l'application en question ne te laisse pas le choix, si tu n'installes pas la seconde application, la pop-up réapparait en boucle.
Ouais enfin une application qui demande d'installer une autre application faut vraiment être abrutis pour le faire. Encore plus plus elle se fait passer par Whatsapp ou pokemon go. Mais d'ailleurs il n'y a pas d'alternatives à Whatsapp sur le play store alors comment peut-on faire pour télécharger le virus ?...
A condition que le Play Store et l'application en question soient disponibles dans sa région...
Il faut installer toutes les apk DIRECTEMENT à partir de google play!
si justement pour cicatriser ça pourrait aller plus vite ^^
super merci !
Ok, je ne connaissais pas... C'est fou cette histoire !
À la base, OmniRAT, avant d'être la base d'un malware, est une solution d'administration à distance vendue à 25$. La suite va vous étonner. Ça tourne mal.
Pas si y a un Dracaufeu près de la salle d'opération, ça peut se comprendre !
Alors comme ça on joue à Pokémon Go dans les hôpitaux ?
Je me demande comment un malware peut cibler autant de systèmes différents, et surtout quelles versions. A priori les failles ne sont pas les mêmes d'un OS à l'autre, et peut-être que les versions récentes ont été patchées ? Connaissant la réputation alarmiste de TrendMicro, comme d'autres éditeurs de logiciels de sécurité, je serais également prudent sur leur communiqué...
Ce sont des détails qui n'ont bizarrement pas été révélés par TrendMicro, mais j'ai tenté de prendre contact avec eux pour pouvoir leur poser ces questions (entre autres). J'attends une réponse ;) N'hésitez pas si vous avez des questions du coup.
Pouvez vous nous dire si toutes les versions de l'OS sont touchées (android 5, 6, 7 ?) Est ce que si on a une "vieille" version mais qu'on a à jour les patchs de sécurité mensuel de Google est on protégé ?
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix