Des chercheurs de Trend Micro ont découvert un malware Android qui permet à des hackers de prendre contrôle d’un appareil Android à distance afin de détourner les fonctionnalités, de dérober des informations ou même de déployer un ransomware. À cause de ces caractéristiques, les chercheurs l’ont baptisé GhostCtrl.
Les chercheurs sont persuadés que le malware GhostCtrl est lié à RETADUP. A, un malware qui s'attaque aux appareils tournant sous Windows. Les deux logiciels malveillants avaient été utilisés lors d’attaques qui ont ciblé des hôpitaux israéliens en juin dernier.
Les chercheurs ont précisé qu’il existe trois versions de GhostCtrl. La première permet de voler des informations et contrôler certaines des fonctionnalités de l'appareil sans nuire, tandis que la seconde est armée de plus de fonctionnalités afin de prendre le contrôle du périphérique. La troisième itération combine le meilleur des fonctionnalités des versions antérieures.
Ainsi, le malware peut secrètement télécharger des fichiers, intercepter les messages, lancer des commandes, contacter des numéros de téléphone, enregistrer les appels vocaux et les transmettre vers un serveur. Il est également en mesure de réinitialiser des mots de passe spécifiques, de contrôler le Bluetooth pour chercher et synchroniser d’autres appareils, et de raccrocher pendant un appel en cours.
Les chercheurs notent que le vol des données de GhostCtrl est plus étendu que celui d'autres logiciels de vol d'informations sur Android. Outre les types d'informations susmentionnés, GhostCtrl peut également siphonner des informations telles que la version de l’OS Android, le nom d'utilisateur, les mots de passe Wi-Fi, les données en provenance de la caméra, du navigateur ou des recherches effectuées, les données relatives aux appels, aux SMS, aux contacts, aux numéros de téléphone, aux numéros de carte SIM et bien plus encore.
Il peut également intercepter des messages texte à partir des numéros de téléphone spécifiés par l'attaquant. Sa capacité la plus redoutable est de savoir comment faire des enregistrements vocaux de manière subreptice puis envoyer les données sur le serveur C&C.
Les chercheurs indiquent que toutes les informations sont chiffrées avant d’être envoyées sur le serveur C&C.
« Sur la base des techniques employées, nous pouvons seulement nous attendre à ce qu'il évolue davantage », ont noté les chercheurs.
L’infection se produit lors du téléchargement de versions non certifiées d’applications massivement utilisées. Les applications les plus concernées par GhostCtrl sont Pokémon Go, WhatsApp et celles dont le nom comprend des termes comme « App » et « MMS ». Une fois le téléchargement effectué, l’application envoie aux utilisateurs des requêtes supplémentaires d’installation sous forme de pop-up, qui ne disparaîtront qu’une fois acceptées.
« Éviter cela est très délicat : même si l'utilisateur annule l'invite “Demande d'installation de la page”, le message apparaîtra immédiatement », assurent les chercheurs.
Source :Trend Micro
Et vous ?
Qu'en pensez-vous ?
GhostCntrl : le malware Android qui peut prendre le contrôle de votre téléphone
A été découvert par Trend Micro
GhostCntrl : le malware Android qui peut prendre le contrôle de votre téléphone
A été découvert par Trend Micro
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !