IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 092
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 092
    Points : 209 783
    Points
    209 783
    Par défaut OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux
    OmniRAT, le spyware qui donne le contrôle de vos dispositifs tournant sur Android, Windows, OS X et Linux
    a été identifié par Avast

    Durant les mois précédents, les spécialistes en sécurité ont remarqué un regain d’intérêt pour les RAT (Remote Access Trojan) dans le marché noir. Après DroidJack ou AndroRAT qui donnent aux attaquants la capacité d’intercepter les messages SMS, de voir l’historique d’appel et de navigation, d’accéder à la liste de contacts et même au microphone et à la caméra sur la plateforme Android.

    Cette fois-ci, c’est le spécialiste en sécurité Avast qui a découvert OmniRAT, un programme similaire à DroidJack, mais qui ne va pas se limiter à la plateforme Android ; le spyware peut également être déployé sur des dispositifs tournant sur Windows, Linux ou Mac OS X.

    Sur le site web est disponible la liste des évènements que vous pouvez provoquer une fois que vous avez le contrôle d’un dispositif Android comme récupérer des informations détaillées sur les services et les processus en cours d’exécution sur l’appareil, voir et effacer l’historique de navigation, lancer des appels ou envoyer des messages SMS, effectuer un enregistrement audio, exécuter des commandes sur l’appareil et plus encore.


    Comme DroidJack, il est possible de se fournir en ligne, mais la différence de prix est énorme : si DroidJack coûte environ 210 dollars, le prix d’OmniRAT varie entre 25 et 50 dollars en fonction du dispositif qui doit être contrôlé.

    Nikolaos Chrysaidos, l’ingénieur Avast qui a fait cette découverte, a expliqué qu’une version personnalisée d’OmniRAT se répand actuellement via l’ingénierie sociale. Il est arrivé à cette conclusion après avoir lu le témoignage d’un utilisateur allemand sur un forum technologique qui a décrit comment un RAT a été installé sur son dispositif Android via un SMS.

    « L’auteur du message a reçu un SMS lui indiquant qu’un MMS lui avait été envoyé (dans l’exemple, un numéro allemand s’affiche et le message SMS est écrit en allemand). Par la suite, le SMS affiche « ce MMS ne peut pas vous être envoyé directement à cause de la vulnérabilité Android StageFright. Accédez au MMS dans les trois jours avec votre numéro de téléphone et entrez votre code PIN. » Une fois que le lien est visité, une page où il vous est demandé d’entrer votre numéro de téléphone et votre code PIN se charge. Une fois que vous entrez votre numéro et votre code, un APK, mms-einst8923, est téléchargé sur votre dispositif Android. Une fois que mms-einst8923.apk est installé, il charge un message dans votre téléphone pour vous indiquer que les paramètres MMS ont été modifiés avec succès et charge une icône qui porte le nom « Récupération de MMS » sur votre téléphone, explique Chrysaidos.


    Une fois que la victime touche l’icône, l’APK extrait alors OmniRAT. Chrysaidos explique que l’APK requiert des utilisateurs qu’ils lui octroient de nombreuses permissions comme l’édition des messages textes, la lecture du journal d’appel et des contacts, la modification ou la suppression des éléments de la carte mémoire. « Si toutes ces permissions semblent évasives et que vous pouvez vous demander « pourquoi quelqu’un devrait donner à une application autant de permissions ? », il en est de même pour de nombreuses applications de confiance et les plus téléchargées sur le Google Play Store. La différence réside dans la source des applications. Je recommande souvent aux utilisateurs de lire les permissions attentivement. Cependant, lorsqu’une application que vous avez téléchargée directement depuis le Google Play Store vous demande des permissions, c’est difficilement une application malicieuse. Aussi, je recommande de télécharger directement depuis le Google Play Store. Si, comme dans ce cas, l’application est téléchargée depuis une source qui n’est pas fiable, les utilisateurs doivent encore être plus attentifs aux permissions qui sont demandées », note le chercheur.

    Une fois qu’OmniRAT est installé, les cybercriminels ont un contrôle sur la liste de contacts du dispositif et peuvent alors propager le spyware à plus de personnes. « Dans cette variante d’OmniRAT, il y a une fonction pour l’envoi de SMS multiples. Ce qui la rend particulièrement dangereuse est le fait que les SMS propagés par OmniRAT depuis le dispositif infecté vont apparaître comme étant en provenance d’un contact fiable pour les destinataires, les rendant plus susceptibles de suivre le lien et de voir leur propre dispositif infecter », précise le chercheur.

    Source : blog Avast

    Voir Aussi :

    La plupart des dispositifs Android sont vulnérables à l'exploit Stagefright qui permet de contrôler un appareil en se servant d'un MMS

  2. #2
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    Octobre 2011
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : Octobre 2011
    Messages : 144
    Points : 228
    Points
    228
    Par défaut
    Avast trouve des failles Android.... Avast est lui même une faille... à part entière, mais bon on peut tous évoluer souhaitons qu'ils s'en aperçoivent tous seul.

  3. #3
    Membre régulier
    Homme Profil pro
    Responsable Informatique
    Inscrit en
    Août 2010
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Responsable Informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2010
    Messages : 42
    Points : 118
    Points
    118
    Par défaut
    Accédez au MMS dans les trois jours avec votre numéro de téléphone et entrez votre code PIN.
    Ah tiens, il faut pas le numéro de carte bancaire avec le cryptogramme au dos non plus ?


  4. #4
    Membre chevronné

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Février 2004
    Messages
    761
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : Février 2004
    Messages : 761
    Points : 2 097
    Points
    2 097
    Par défaut
    Citation Envoyé par bytecode Voir le message
    Troll sur Avast
    Je ne vois pas en quoi. Des sources quelconques pour ce troll gratuit?

  5. #5
    MikeRowSoft
    Invité(e)
    Par défaut
    Il faut bien que le pare-feu d'appel serve à quelque chose... Comme de recevoir des appels et messages que de ceux qui sont dans la liste des contacts et ainsi éviter le contact extérieur... En plus ils font payer l'outil pour filer la frousse ou dégouter... Ils ont introduit le problème les opérateurs et magasins vendent les smartphones sans broncher...

  6. #6
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    Octobre 2011
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : Octobre 2011
    Messages : 144
    Points : 228
    Points
    228
    Par défaut
    Citation Envoyé par blbird Voir le message
    Des sources quelconques pour ce troll gratuit?
    Avast est l'antivirus préférer des français y a qu'a regarder le nombre de téléchargement fait via 01.net "téléchargé les 7 derniers jours 103443 fois"

    Pour ce qui est de leurs incapacité à détecter un exécutable modifier on peut avoir un début d'infos en lisant ceci

    Si on le compare simplement à Avira sur leurs façon de détecter un fichier, Avira vous affichera pour le même fichier un "tr dropper gen" là ou Avast ne verra rien "tr dropper gen" est basé sur l'icone qui fait partie de l'en-tête PE c'est un plus non négligeable face à Avast mais je vous rassure Avira n'est en rien meilleur si vous passer ce cap il vous enverra un tr crypt xpack gen2/3 mais là encore si vous disposer des codes sources alors c'est un jeu d'enfant via l'obfuscation de le passer en y ajoutant des ressources de dll systéme inutile du style dinput.dll .... enfin si vous voulez une meilleur protection sous windows en gratuit il vaut mieux prendre commodo qui utilise un AV un pare feu et une sandbox (PF ressemblant beaucoup à kério) qui vous avertis de ce qui ce fait en tache de fond sur votre système Avast ne sert absolument à rien et cerise sur le gâteau il laisse passer des zéro day de type active X signé par des AC datant de 2005 malgré que les sources leurs est été envoyé.

    Full disclosure oblige pas de vidéo pour prouver mes dires. c'est pour ça que je me permet de dire qu'ils sont nul et malheureusement les plus télécharger.

    Ps : inutile que je parle de rootkit ring0 par injection de processus en reverse shell sans élévation de privilège toujours possible sous Seven protéger par Avast gratuit.
    Ps2 : une source sur le fofo

  7. #7
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 406
    Points
    8 406
    Par défaut
    je suis pas d'accord avec ce que tu dis bytecode, linker la page wiki du format PE pour démontrer l'incapacité d'Avast à détecter des vérolles n'est pas pertinent du tout, tout comme je ne vois pas le rapport entre le full disclosure et l'absence de vidéo permettant d'étayer tes propos, là où je suis d'accord c'est que c'est effectivement inutile de parler de "rootkit ring0 par injection de processus en reverse shell sans élévation de privilège", au mieux tu confonds la faille et ses techniques d'exploitation, au pire ça ressemble surtout à une tentative d’enfumage avec des termes techniques qui n'ont pas tous de liens entre eux

    alors bon, je ne suis pas expert ès "hacking" sous Windows (sans être tout à fait à la ramasse non plus et pour le dire simplement) et sans parler de la forme, peut-être que sur le fond tu as au moins en partie raison et qu'Avast est un gruyère etc. mais d'une part tes arguments ici sont foireux, d'autre part -et dans le doute- sans dire que je fais une confiance aveugle à ces tests, il semble tout de même qu'Avast ne s'en sorte pas si mal, et en tous cas pas moins bien qu'Avira en l'occurrence, à défaut d'être THE comparatif ultime, ça me semble au minimum être un argument plus sérieux que de parler de connectback dans le noyau

Discussions similaires

  1. Réponses: 0
    Dernier message: 15/02/2009, 22h19
  2. [MFC] Accès pointeur qui donne rien :s
    Par EagleEye dans le forum MFC
    Réponses: 3
    Dernier message: 02/03/2006, 19h32
  3. Spyware qui bloque le fond d'écran Windows
    Par akli_agha dans le forum Sécurité
    Réponses: 6
    Dernier message: 02/02/2006, 18h16
  4. Réponses: 4
    Dernier message: 28/10/2005, 17h30
  5. Afficher une fenêtre d'informations qui donne l'impression de se détâcher
    Par jean_bobi dans le forum Agents de placement/Fenêtres
    Réponses: 11
    Dernier message: 25/09/2005, 16h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo