OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux
A été identifié par Avast

Le , par Stéphane le calme

21PARTAGES

5  1 
Durant les mois précédents, les spécialistes en sécurité ont remarqué un regain d’intérêt pour les RAT (Remote Access Trojan) dans le marché noir. Après DroidJack ou AndroRAT qui donnent aux attaquants la capacité d’intercepter les messages SMS, de voir l’historique d’appel et de navigation, d’accéder à la liste de contacts et même au microphone et à la caméra sur la plateforme Android.

Cette fois-ci, c’est le spécialiste en sécurité Avast qui a découvert OmniRAT, un programme similaire à DroidJack, mais qui ne va pas se limiter à la plateforme Android ; le spyware peut également être déployé sur des dispositifs tournant sur Windows, Linux ou Mac OS X.

Sur le site web est disponible la liste des évènements que vous pouvez provoquer une fois que vous avez le contrôle d’un dispositif Android comme récupérer des informations détaillées sur les services et les processus en cours d’exécution sur l’appareil, voir et effacer l’historique de navigation, lancer des appels ou envoyer des messages SMS, effectuer un enregistrement audio, exécuter des commandes sur l’appareil et plus encore.



Comme DroidJack, il est possible de se fournir en ligne, mais la différence de prix est énorme : si DroidJack coûte environ 210 dollars, le prix d’OmniRAT varie entre 25 et 50 dollars en fonction du dispositif qui doit être contrôlé.

Nikolaos Chrysaidos, l’ingénieur Avast qui a fait cette découverte, a expliqué qu’une version personnalisée d’OmniRAT se répand actuellement via l’ingénierie sociale. Il est arrivé à cette conclusion après avoir lu le témoignage d’un utilisateur allemand sur un forum technologique qui a décrit comment un RAT a été installé sur son dispositif Android via un SMS.

« L’auteur du message a reçu un SMS lui indiquant qu’un MMS lui avait été envoyé (dans l’exemple, un numéro allemand s’affiche et le message SMS est écrit en allemand). Par la suite, le SMS affiche « ce MMS ne peut pas vous être envoyé directement à cause de la vulnérabilité Android StageFright. Accédez au MMS dans les trois jours avec votre numéro de téléphone et entrez votre code PIN. » Une fois que le lien est visité, une page où il vous est demandé d’entrer votre numéro de téléphone et votre code PIN se charge. Une fois que vous entrez votre numéro et votre code, un APK, mms-einst8923, est téléchargé sur votre dispositif Android. Une fois que mms-einst8923.apk est installé, il charge un message dans votre téléphone pour vous indiquer que les paramètres MMS ont été modifiés avec succès et charge une icône qui porte le nom « Récupération de MMS » sur votre téléphone, explique Chrysaidos.


Une fois que la victime touche l’icône, l’APK extrait alors OmniRAT. Chrysaidos explique que l’APK requiert des utilisateurs qu’ils lui octroient de nombreuses permissions comme l’édition des messages textes, la lecture du journal d’appel et des contacts, la modification ou la suppression des éléments de la carte mémoire. « Si toutes ces permissions semblent évasives et que vous pouvez vous demander « pourquoi quelqu’un devrait donner à une application autant de permissions ? », il en est de même pour de nombreuses applications de confiance et les plus téléchargées sur le Google Play Store. La différence réside dans la source des applications. Je recommande souvent aux utilisateurs de lire les permissions attentivement. Cependant, lorsqu’une application que vous avez téléchargée directement depuis le Google Play Store vous demande des permissions, c’est difficilement une application malicieuse. Aussi, je recommande de télécharger directement depuis le Google Play Store. Si, comme dans ce cas, l’application est téléchargée depuis une source qui n’est pas fiable, les utilisateurs doivent encore être plus attentifs aux permissions qui sont demandées », note le chercheur.

Une fois qu’OmniRAT est installé, les cybercriminels ont un contrôle sur la liste de contacts du dispositif et peuvent alors propager le spyware à plus de personnes. « Dans cette variante d’OmniRAT, il y a une fonction pour l’envoi de SMS multiples. Ce qui la rend particulièrement dangereuse est le fait que les SMS propagés par OmniRAT depuis le dispositif infecté vont apparaître comme étant en provenance d’un contact fiable pour les destinataires, les rendant plus susceptibles de suivre le lien et de voir leur propre dispositif infecter », précise le chercheur.

Source : blog Avast

Voir Aussi :

La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright qui permet de contrôler un appareil en se servant d'un MMS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de bytecode
Membre actif https://www.developpez.com
Le 06/11/2015 à 13:17
Avast trouve des failles Android.... Avast est lui même une faille... à part entière, mais bon on peut tous évoluer souhaitons qu'ils s'en aperçoivent tous seul.
Avatar de Vinorcola
Membre régulier https://www.developpez.com
Le 06/11/2015 à 14:13
Accédez au MMS dans les trois jours avec votre numéro de téléphone et entrez votre code PIN.
Ah tiens, il faut pas le numéro de carte bancaire avec le cryptogramme au dos non plus ?

Avatar de blbird
Membre éprouvé https://www.developpez.com
Le 06/11/2015 à 19:31
Citation Envoyé par bytecode Voir le message
Troll sur Avast
Je ne vois pas en quoi. Des sources quelconques pour ce troll gratuit?
Avatar de
https://www.developpez.com
Le 07/11/2015 à 0:31
Il faut bien que le pare-feu d'appel serve à quelque chose... Comme de recevoir des appels et messages que de ceux qui sont dans la liste des contacts et ainsi éviter le contact extérieur... En plus ils font payer l'outil pour filer la frousse ou dégouter... Ils ont introduit le problème les opérateurs et magasins vendent les smartphones sans broncher...
Avatar de bytecode
Membre actif https://www.developpez.com
Le 07/11/2015 à 1:14
Citation Envoyé par blbird Voir le message
Des sources quelconques pour ce troll gratuit?
Avast est l'antivirus préférer des français y a qu'a regarder le nombre de téléchargement fait via 01.net "téléchargé les 7 derniers jours 103443 fois"

Pour ce qui est de leurs incapacité à détecter un exécutable modifier on peut avoir un début d'infos en lisant ceci

Si on le compare simplement à Avira sur leurs façon de détecter un fichier, Avira vous affichera pour le même fichier un "tr dropper gen" là ou Avast ne verra rien "tr dropper gen" est basé sur l'icone qui fait partie de l'en-tête PE c'est un plus non négligeable face à Avast mais je vous rassure Avira n'est en rien meilleur si vous passer ce cap il vous enverra un tr crypt xpack gen2/3 mais là encore si vous disposer des codes sources alors c'est un jeu d'enfant via l'obfuscation de le passer en y ajoutant des ressources de dll systéme inutile du style dinput.dll .... enfin si vous voulez une meilleur protection sous windows en gratuit il vaut mieux prendre commodo qui utilise un AV un pare feu et une sandbox (PF ressemblant beaucoup à kério) qui vous avertis de ce qui ce fait en tache de fond sur votre système Avast ne sert absolument à rien et cerise sur le gâteau il laisse passer des zéro day de type active X signé par des AC datant de 2005 malgré que les sources leurs est été envoyé.

Full disclosure oblige pas de vidéo pour prouver mes dires. c'est pour ça que je me permet de dire qu'ils sont nul et malheureusement les plus télécharger.

Ps : inutile que je parle de rootkit ring0 par injection de processus en reverse shell sans élévation de privilège toujours possible sous Seven protéger par Avast gratuit.
Ps2 : une source sur le fofo
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 08/11/2015 à 0:20
je suis pas d'accord avec ce que tu dis bytecode, linker la page wiki du format PE pour démontrer l'incapacité d'Avast à détecter des vérolles n'est pas pertinent du tout, tout comme je ne vois pas le rapport entre le full disclosure et l'absence de vidéo permettant d'étayer tes propos, là où je suis d'accord c'est que c'est effectivement inutile de parler de "rootkit ring0 par injection de processus en reverse shell sans élévation de privilège", au mieux tu confonds la faille et ses techniques d'exploitation, au pire ça ressemble surtout à une tentative d’enfumage avec des termes techniques qui n'ont pas tous de liens entre eux

alors bon, je ne suis pas expert ès "hacking" sous Windows (sans être tout à fait à la ramasse non plus et pour le dire simplement) et sans parler de la forme, peut-être que sur le fond tu as au moins en partie raison et qu'Avast est un gruyère etc. mais d'une part tes arguments ici sont foireux, d'autre part -et dans le doute- sans dire que je fais une confiance aveugle à ces tests, il semble tout de même qu'Avast ne s'en sorte pas si mal, et en tous cas pas moins bien qu'Avira en l'occurrence, à défaut d'être THE comparatif ultime, ça me semble au minimum être un argument plus sérieux que de parler de connectback dans le noyau
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web