Des chercheurs de Trend Micro viennent de découvrir un malware Android baptisé GhostCtrl. Ce cheval de Troie permet à des hackers de prendre contrôle d’un appareil Android à distance afin de détourner les fonctionnalités, de dérober des informations ou même de lancer des attaques ransomware.

Ce nouveau malware Android, portant le nom de code GhostCtrl, est directement lié au malware Windows RETADUP.A, découvert par Trend Micro le 27 juin dernier. Les deux logiciels malveillants ont été découverts après avoir été détectés et bloqués en tentant d’infecter deux hôpitaux israéliens.

Selon Jon Clay de Trend Micro, les hackers derrière ces attaques utilisaient RETADUP et Ghost Ctrl pour cibler à la fois les PC et les smartphones Android connectés au réseau de l’hôpital. Cette attaque synchronisée s’inscrit dans une nouvelle tendance consistant à utiliser plusieurs malwares pour s’assurer de collecter un maximum d’informations auprès des victimes ciblées.

GhostCtrl se présente comme un malware particulièrement redoutable, car il offre aux hackers une extrême flexibilité et de nombreuses options en termes d’actions à effectuer et du contenu à dérober. Ainsi, le malware peut secrètement télécharger des fichiers, intercepter les messages, lancer des commandes, contacter des numéros de téléphone, enregistrer les appels vocaux et les transmettre vers un serveur.

Lire aussi : BlueBorne : le Bluetooth est une mine de failles pour les pirates

Ce spyware est même en mesure de réinitialiser des mots de passe spécifiques, de contrôler le Bluetooth pour chercher et synchroniser d’autres appareils, et de raccrocher pendant un appel en cours. La possibilité de modifier les mots de passe et de verrouiller l’écran d’un appareil lui permet potentiellement d’agir comme un ransomware, à l’instar de WannaCry, forçant les utilisateurs à payer pour retrouver le contrôle de leur smartphone ou de leur tablette Android.

GhostCtrl peut même être utilisé comme un ransomware

Le malware peut également dérober des informations comme les données relatives aux appels, aux SMS, aux contacts, aux numéros de téléphone, aux numéros de carte SIM, aux versions Android, aux mots de passe WiFi, aux recherches internet, ou aux informations d’activité et bien plus encore.

Toujours selon les dires de Trend Micro, GhostCtrl semble directement dérivé du malware multiplateforme OmniRAT, capable de détourner aussi bien les appareils Android que les machines Windows, Mac ou Linux. Le logiciel malveillant se décline en trois versions. L’une permet de gagner les privilèges administrateurs, la seconde permet de rooter un appareil Android à distance, et la troisième permet d’injecter du code malicieux.

Il est possible d’être infecté par GhostCtrl en téléchargeant des versions frauduleuses d’applications populaires. Les APK intégrant GhostCtrl portent des noms comme « App » « MMS » « WhatsApp » et « Pokemon Go ». Une fois téléchargée, l’application enverra aux utilisateurs de requêtes d’installation sous la forme de pop-up, qui ne disparaîtront qu’une fois acceptées.

Bastien Lepine
Phoneandroid.com