16/12/2024

Actu CybersécuritéMobileNon classé

Le malware Ratel RAT chiffre les données des appareils Android obsolètes !

Ratel RAT, c'est le nom d'un malware open source utilisé par plusieurs groupes de cybercriminels pour s'attaquer en priorité aux périphériques Android obsolètes. Tel un ransomware, il chiffre les données de l'appareil et effectue une demande de rançon à l'utilisateur. Voici ce qu'il faut savoir.

Un nouveau rapport publié par les chercheurs en sécurité Antonis Terefos et Bohdan Melnykov de Check Point évoque l'utilisation de Ratel RAT dans au moins 120 campagnes d'attaques.

"Nous avons observé environ 120 campagnes malveillantes différentes, dont certaines ont réussi à cibler des organisations de premier plan, notamment dans le secteur militaire. Si la plupart des victimes ciblées étaient originaires des États-Unis, de Chine et d'Indonésie, la géographie des attaques est assez vaste.", peut-on lire dans ce rapport. La carte intégrée au rapport montre qu'il y a également eu une ou plusieurs campagnes menées en France.

Les attaques de Ratel RAT

Pour infecter les appareils, les cybercriminels tentent de convaincre les utilisateurs de télécharger un fichier APK malicieux. Ainsi, si un utilisateur passe à l'action et qu'il pense installer une application sur son smartphone, il récupérera un méchant malware nommé Ratel RAT en plus de l'application souhaitée. Ce malware se cache au sein de paquets APK permettant d'installer des applications populaires comme WhatsApp et Instagram.

Afin de pouvoir contrôler l'appareil dans son ensemble, l'application demandera de nombreuses permissions sur l'appareil. Par exemple, nous pouvons citer l'autorisation de ne pas être concerné par le processus d'optimisation de la batterie, pour être autorisé à fonctionner en arrière-plan.

Le malware prend en charge une quinzaine de commandes que les pirates peuvent exécuter à distance. Voici quelques exemples :

  • La commande "ransomware" pour chiffrer les données de l'appareil.
  • La commande "wipe" pour supprimer tous les fichiers présents à un emplacement spécifique.
  • La commande "sms_oku" pour transmettre tous les SMS au serveur C2 des pirates (redoutable pour voler les codes 2FA !)
  • La commande "LockTheScreen" pour verrouiller l'écran de l'appareil.
  • La commande "location_tracker" pour géolocaliser l'appareil et transmettre l'information en temps réel au serveur C2.

D'après Check Point, dans 10.3% des cas, la commande "ransomware" a été utilisée par les cybercriminels. Une fois les données chiffrées, une note de rançon est déposée sur l'appareil. "La note de rançon sous forme de message SMS est rédigée en arabe et fournit un canal Telegram pour poursuivre le dialogue.", peut-on lire.

Qui est vulnérable ? Quels sont les modèles pris pour cible ?

Ce logiciel malveillant est particulièrement présent sur les appareils Android dont le système n'est plus maintenu. Ceci expose ces appareils à l'exploitation de failles de sécurité connues, mais non corrigées par la marque. Ces anciennes versions sont aussi dépourvues de certains mécanismes de sécurité introduit dans Android au fil des versions.

D'après les statistiques fournies par Check Point, Android 11 est la version la plus touchée, suivi par les versions 8 et 5 d'Android. En fait, Android 11 et les versions antérieures représentent plus de 87,5 % du total d'appareils infectés. Ceci signifie qu'il y a tout de même des victimes dont l'appareil tourne sur Android 12 ou 13.

"Plus de 87 % des victimes concernées utilisent des versions d'Android qui ne sont plus prises en charge et qui, par conséquent, ne reçoivent pas de correctifs de sécurité.", précise le rapport. Une nouvelle fois, ces attaques mettent en lumière le problème de suivi des mises à jour Android ainsi que le fort fractionnement dans les versions d'Android utilisées sur les appareils. Chaque constructeur a sa politique de suivi des smartphones, sur un nombre d'années plus ou moins important.

Néanmoins, ces attaques ne ciblent pas une marque particulière, puisqu'il y a aussi des appareils Google Pixel, que Samsung Galaxy A et S, ou encore des appareils Xiaomi.

Source : Check Point

En résumé, en restant vigilant, et en ne téléchargeant pas d'applications en dehors des magasins d'applications officiels, vous pouvez éviter ce genre de menace. Ratel RAT, en plus d'offrir un accès à distance à votre appareil, représente un gros risque pour vos données et vos informations personnelles.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.