Après le malware GravityRAT capable d’espionner vos SMS ou encore le malware Alien apte à siphonner votre compte en banque, les chercheurs en sécurité informatique de Kapersky ont découvert une nouvelle menace. Son nom : Ghimob. Il s’agit d’un Trojan capable d’imiter des applications légitimes pour ensuite espionner et voler les données sensibles des utilisateurs. Et notamment des identifiants bancaires ou en relation avec les cryptomonnaies.
Les chercheurs en sécurité informatique de Kapersky ont repéré ce virus il y a quelque temps déjà, et ont publié toutes les informations à son sujet dans Malpedia, une base de données chargée de trier et de répertorier toutes les découvertes liées à des virus ou des maliciels. Ainsi et d’après leurs travaux, Ghimob peut reproduire pas moins de 153 applications Android.
Ghimob est passé du PC à Android
Au départ, Ghimob était un virus type cheval de Troie qui sévissait sur PC. Seulement, les opérateurs derrière ce malware ont décidé de l’adapter pour les appareils Android. Ce n’est pas surprenant, Android est l’un des OS les plus ouverts au monde, avec de nombreuses propriétés modifiables, ce qui en fait un terrain propice pour le piratage et le vol de données.
Comme de nombreux malwares avant lui, Ghimob imite donc des applications Android légitimes. Bien entendu, ces fausses applis multiplient les demandes d’accès à l’utilisateur une fois l’installation lancée. Accéder aux SMS, aux images, aux appels, etc. Tout est bon à prendre, et la plupart des utilisateurs les acceptent, persuadés qu’il s’agit d’applis légitimes.
Ghimob évite le Play Store par « sécurité »
Notez bien que les fausses applications dupliquées par Ghimob ne sont pas disponibles depuis le Google Play Store. Probablement pour éviter d’avoir affaire aux systèmes de sécurité de Google, les opérateurs du malware préfèrent diffuser ces applications vérolées via des spams par mail, ou bien directement via des annonces publicitaires sur votre navigateur.
En règle générale, ces pubs vantent de « nouvelles applications Android prometteuses » et reprennent les appellations d’applis célèbres et populaires. On retrouve ainsi du « Google Defender », mix entre Google et Microsoft Defender, ou encore Adobe Flash Update ou bien WhatsApp Updater.
Une fois installé et après avoir obtenu toutes les permissions voulues, le malware se charge d’ouvrir plusieurs fenêtres d’identification en lien avec les vraies applications (Google, Whatsapp, Facebook, des applications bancaires, des wallets Bitcoin, etc.). Le but est ici de récupérer vos noms d’utilisateur, vos mots de passe et d’autres données.
Pour l’heure, Google n’a pas réagi officiellement à la découverte de Kapersky. Quoi qu’il en soit, ne téléchargez jamais d’applications en dehors du Play Store ou d’une boutique d’applications sécurisées. Et bien entendu, il est plus que déconseillé d’installer une application depuis un mail, d’autant plus s’il s’agit d’un spam. Pour l’instant, la France ne fait pas partie des pays concernés mais on sait à quel point ces saletés se baladent vite. Par ailleurs si vous voulez protéger sérieusement votre appareil Android et toutes vos autres machines, il existe de nombreux antivirus comme… Kaspersky justement.
