Un nouveau malware vient de faire son apparition dans la sphère Android. Baptisé GhostCtrl, celui-ci est capable de voler un grand nombre d’informations, de contrôler le terminal à distance et même d’agir comme un ransomware.

Mimiqui, un Pokémon aussi redoutable que le malware.

Un ver informatique a récemment touché des hôpitaux israéliens afin de voler des informations sensibles sur certains patients. Selon TrendMicro, il ne s’agissait que d’une partie d’une attaque de plus grande ampleur, accompagnée d’une menace affectant également les terminaux sous Android.

Un malware fantôme

Baptisé GhostCtrl par TrendMicro, le malware en question se divise en trois versions différentes. La première lui permet d’obtenir des droits d’administrateur sur l’appareil, puis arrive la seconde capable de voler des informations et d’agir comme un ransomware, et enfin la troisième qui rend l’ensemble plus opaque et cache ses agissements.

Basé sur OmniRAT, un logiciel capable de contrôler à distance un vaste panel d’appareils sous Android, Windows, Linux ou MacOS, GhostCtrl prend le nom d’applications courantes, des basiques « App » ou « MMS » jusqu’aux plus fourbes « WhatsApp » et « Pokemon GO ». Une fois l’application en question installée, elle demande alors à l’utilisateur d’installer un nouvel APK par le biais d’une pop-up qui réapparaît en boucle tant que l’utilisateur n’a pas accepté l’installation.

Lorsque la porte dérobée a été correctement installée, celle-ci se connecte alors à des serveurs distants par le biais de noms de domaines dynamiques (comme php.no-ip.biz ou ayalove.no-ip.biz) plutôt que par l’IP du serveur, ce qui permet éventuellement aux pirates de changer facilement de serveurs et ainsi être plus difficiles à attraper, sans perdre pour autant le lien avec les appareils déjà infectés.

Un malware très curieux

TrendMicro précise que les données récupérées par GhostCtrl sont très nombreuses en comparaison des malwares habituels. Le malware en question récupère ainsi la version du système, le nom de l’utilisateur, les réseaux Wi-Fi sur lesquels il se connecte, l’état de la batterie, du Bluetooth, les données des différents capteurs, mais aussi l’historique de recherches, les données du navigateur, le fond d’écran, et peut aussi bien accéder à l’appareil photo qu’aux micros du téléphone pour espionner sa victime.

Comme dit plus haut, la seconde version de GhostCtrl peut également agir comme un ransomware en verrouillant l’écran du téléphone et en changeant le mot de passe et peut même rooter le terminal et créer une routine régulière capturant une photo ou une vidéo avant de l’envoyer sur un serveur distant après l’avoir chiffré.

La prudence avant tout

Comme d’habitude, on ne peut donc que vous conseiller d’éviter de télécharger des applications de sources non fiables et de faire les mises à jour de votre smartphone ou de votre tablette dès qu’elles sont disponibles.

À lire sur FrAndroid : 9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)