Des chercheurs en sécurité ont découvert un malware Android capable d’enregistrer de l’audio, de la vidéo et de voler les données d’un appareil infecté.
Une nouvelle forme de malware sur Android, l’une des plus avancées jamais découvertes, permet aux attaquants d’ouvrir une backdoor afin d’accéder aux données, voler des informations, d’enregistrer de l’audio et de la vidéo et même d’infecter le téléphone avec un ransomware.
Baptisé GhostCtrl, le logiciel malveillant peut surveiller furtivement plusieurs des fonctions des appareils infectés. Les chercheurs ont mis en garde que ce n’est que le début et qu’il pourrait évoluer pour devenir beaucoup plus performant encore.
Ce nouveau logiciel malveillant semble être basé sur OmniRAT, une sorte de logiciel d’espionnage capable de donner aux pirates un contrôle complet d’un périphérique, qu’il s’agisse d’un appareil sous Windows, Mac, Linux ou Android. Mais contrairement à son précédent prédécesseur, ici, GhostCtrl se concentre uniquement sur Android.
Les appareils mobiles sont devenus une cible de plus en plus précieuse pour les cybercriminels et les services d’espionnage, non seulement parce qu’ils peuvent fournir des informations sur pratiquement tous les aspects de la vie d’une victime, mais aussi parce que l’appareil sera presque toujours avec eux.
Découvert par des chercheurs de Trend Micro, GhostCtrl fait partie d’une campagne plus large ciblant les hôpitaux israéliens avec le ver RETADUP, qui cible l’OS Windows pour collecter un maximum d’informations. Cependant, la version mobile de l’attaque représente une menace encore plus dangereuse pour les victimes.
Au total, il existe trois versions de GhostCtrl: une qui détruit des informations et contrôle certaines des fonctions des appareils, tandis qu’une seconde ajoute plus de fonctionnalités au détournement de l’appareil. Maintenant, le logiciel malveillant est sur sa troisième version qui combine les fonctionnalités les plus avancées des itérations précédentes tout en ajoutant d’autres options malveillantes.
Celles-ci incluent le suivi des données du téléphone en temps réel, la possibilité de voler les données de l’appareil, y compris les journaux d’appels, les enregistrements de messages, les contacts, les numéros de téléphone, l’emplacement et l’historique du navigateur. GhostlCtrl peut également recueillir des informations sur la version Android de la victime, le Wi-Fi, le niveau de la batterie et presque toutes les informations sur l’activité du smartphone.
L’aspect le plus inquiétant n’est pas seulement la possibilité d’intercepter des messages à partir de contacts spécifiés par l’attaquant, mais GhostCtrl peut également enregistrer discrètement de l’audio et de la vidéo, ce qui permet aux attaquants d’espionner les victimes infectées.
En général, les utilisateurs sont infectés par les malwares en téléchargeant de fausses versions d’applications populaires légitimes, comme WhatsApp et Pokémon Go. GhostCtrl va s’installer lors de son lancement, en installant un package d’application Android malveillant afin de prendre en charge l’appareil.
Cet APK contient des fonctions de backdoor appelées «com.android.engine» conçues pour inciter l’utilisateur à penser que l’application est légitime, alors que l’app se connecte à un serveur de commande et de contrôle pour recevoir des commandes et des instructions sur les informations à voler.
GhostCtrl peut se transformer en ransomware, avec la possibilité de verrouiller des périphériques. Cependant, cette fonctionnalité n’a pas encore été observée par les chercheurs en sécurité et compte tenu de l’accent mis sur le malware, il est peu probable que les attaquants le déploient prochainement, à moins qu’ils ne modifient massivement leurs intentions et leurs tactiques.
La nature même de ce malware signifie qu’il est difficile de se protéger, bien que le fait d’installer des applications légitimes à partir de sources légitimes soit une bonne façon d’éviter de le télécharger en premier lieu.
Les chercheurs de Trend Micro recommandent également que les appareils Android soient à jour et que les entreprises devraient restreindre les autorisations sur les périphériques de l’entreprise afin d’empêcher l’installation de logiciels malveillants.
