Une nouvelle variante du malware GhostSpy vise les smartphones Android. Développée au Brésil, cette version s’installe en plusieurs étapes via un dropper, prend le contrôle total de l’appareil, vole les données personnelles et contourne les protections bancaires.
Une nouvelle souche du virus GhostSpy a été découverte par les chercheurs de Cyfirma. Taillé pour pirater les smartphones Android, le malware est capable de prendre à distance le contrôle de l’appareil. Il se distingue d’abord par un processus d’infection en plusieurs étapes, qui débute par l’utilisation d’un « dropper », ou compte-gouttes.
Ce type de programme malveillant ne cause pas de dégâts en lui-même. Son seul but est de glisser discrètement un autre virus sur le smartphone de la victime. Il sert à contourner les protections de sécurité d’Android. Une fois installé, il déclenche ensuite le vrai logiciel malveillant, souvent bien plus dangereux. Pour berner les utilisateurs, le compte-gouttes se fait passer pour une mise à jour d’application ou un outil indispensable au système d’exploitation. C’est une stratégie massivement employée par les cybercriminels.
À lire aussi : Ce malware Android a trouvé le moyen de devenir invisible grâce à un outil Microsoft
Capture d’écran et vol de données bancaires
Une fois déployée, la nouvelle version de GhostSpy va s’accorder « automatiquement toutes les autorisations nécessaires » en cliquant sur les boites de dialogue à la place de l’utilisateur. Le virus s’octroie « un large éventail d’autorisations d’exécution sensibles, ce qui lui permet d’accéder aux données privées des utilisateurs ».
Il va d’ailleurs ensuite piller toutes les données stockées sur le smartphone visé. Pou arriver à ses fins, le logiciel va notamment faire des captures d’écran à l’insu de l’utilisateur, enregistrer tout ce qui est tapé sur le clavier tactile, voler les SMS, et exfiltrer la position géographique du téléphone. Pire, il peut activer le microphone pour enregistrer les sons aux alentours et activer la caméra pour filmer, sans que l’utilisateur se rende compte de quoi que ce soit.
Il va surtout faire des captures d’écran lorsque l’usager ouvre l’application de sa banque sur son smartphone. Pour ça, GhostSpy contourne tous les mécanismes de blocage des captures qui ont été mis en place par les banques. De cette manière, il peut compromettre les coordonnées bancaires de la cible. Les applications bancaires sont en effet configurées pour empêcher l’utilisateur de faire des captures du contenu de l’écran, pour des raisons de sécurité.
À lire aussi : Un malware espion nord-coréen se cache sur le Play Store – désinstallez ces 5 apps Android
Un virus « à haut risque »
Le rapport estime que le malware est un virus « à haut risque qui tire parti des techniques avancées d’évasion, de persistance et de surveillance pour obtenir un contrôle total sur les appareils infectés ». Pour se propager, GhostSpy se sert du smartphone infecté pour envoyer des SMS de phishing à tous les contacts enregistrés.
Selon les investigations menées par Cyfirma, il est possible que le pirate à l’origine de la souche soit basé au Brésil. Le virus est configuré dans diverses langues, dont l’anglais, le portugais et l’espagnol. Aux dires des chercheurs, le malware est donc taillé pour prendre d’assaut de nombreux pays différents. C’est une « menace importante » pour les appareils Android qui est en train d’émerger.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Cyfirma