{"id":785594,"date":"2023-06-15T20:37:41","date_gmt":"2023-06-15T22:37:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/avertissement-le-cheval-de-troie-android-gravityrat-vole-les-sauvegardes-whatsapp-et-supprime-les-fichiers\/"},"modified":"2023-06-15T20:37:44","modified_gmt":"2023-06-15T22:37:44","slug":"avertissement-le-cheval-de-troie-android-gravityrat-vole-les-sauvegardes-whatsapp-et-supprime-les-fichiers","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/avertissement-le-cheval-de-troie-android-gravityrat-vole-les-sauvegardes-whatsapp-et-supprime-les-fichiers\/","title":{"rendered":"Avertissement : le cheval de Troie Android GravityRAT vole les sauvegardes WhatsApp et supprime les fichiers"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 mobile \/ Confidentialit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une version mise \u00e0 jour d&#8217;un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance Android surnomm\u00e9 <strong>Gravit\u00e9RAT<\/strong> a \u00e9t\u00e9 trouv\u00e9 se faisant passer pour des applications de messagerie BingeChat et Chatico dans le cadre d&#8217;une campagne \u00e9troitement cibl\u00e9e depuis juin 2022.<\/p>\n<p>&#8220;Remarquable dans la campagne r\u00e9cemment d\u00e9couverte, GravityRAT peut exfiltrer les sauvegardes WhatsApp et recevoir des commandes pour supprimer des fichiers&#8221;, a d\u00e9clar\u00e9 Luk\u00e1\u0161 \u0160tefanko, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2023\/06\/15\/android-gravityrat-goes-after-whatsapp-backups\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<p>&#8220;Les applications malveillantes fournissent \u00e9galement une fonctionnalit\u00e9 de chat l\u00e9gitime bas\u00e9e sur l&#8217;open-source <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/froghorn82\/omemo-im\" target=\"_blank\">OMEMO<\/a> Application de messagerie instantan\u00e9e.&#8221;<\/p>\n<p>GravityRAT est le nom donn\u00e9 \u00e0 un logiciel malveillant multiplateforme capable de cibler les appareils Windows, Android et macOS.  La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 suit l&#8217;activit\u00e9 sous le nom de SpaceCobra.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;acteur de la menace est soup\u00e7onn\u00e9 d&#8217;\u00eatre bas\u00e9 au Pakistan, avec des attaques r\u00e9centes impliquant GravityRAT ciblant le personnel militaire en Inde et parmi l&#8217;arm\u00e9e de l&#8217;air pakistanaise en le camouflant en tant qu&#8217;applications de stockage et de divertissement en nuage, comme l&#8217;a r\u00e9v\u00e9l\u00e9 Meta le mois dernier.<\/p>\n<p>L&#8217;utilisation d&#8217;applications de chat comme leurre pour distribuer le malware avait d\u00e9j\u00e0 \u00e9t\u00e9 mise en \u00e9vidence en novembre 2021 par Cyble, qui <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2021\/11\/11\/gravity-rat-malware-returns-as-a-chat-application\/\" target=\"_blank\">analys\u00e9<\/a> un \u00e9chantillon nomm\u00e9 &#8220;SoSafe Chat&#8221; qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 dans la base de donn\u00e9es VirusTotal depuis l&#8217;Inde.<\/p>\n<p>Les applications de chat, bien qu&#8217;elles ne soient pas disponibles sur Google Play, sont distribu\u00e9es via des sites Web malveillants faisant la promotion de services de messagerie gratuits\u00a0: bingechat[.]filet et chatico[.]co[.]Royaume-Uni.<\/p>\n<p>&#8220;Ce groupe a utilis\u00e9 des personnages fictifs &#8211; se faisant passer pour des recruteurs pour des entreprises de d\u00e9fense l\u00e9gitimes et fausses et des gouvernements, du personnel militaire, des journalistes et des femmes cherchant \u00e0 \u00e9tablir une relation amoureuse &#8211; dans le but de renforcer la confiance avec les personnes qu&#8217;ils ciblaient&#8221;, a d\u00e9clar\u00e9 Meta dans son rapport trimestriel sur les menaces contradictoires.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjrkE2JeIitG7W0RdY-W9-TCsJbueYBo7jb0WJi3z1Hf7LjxBG2yZZ9yAOiEo_5f0NGQ97Xff450sh49g6PzD8PkfSgCJwTpL_A90QlYA1DkIxr-Wc-Utp6ZClFMXtSrMQtNUJqvcFSsDSnFWGUCPoXnTl-gPMdfJ0vpppgP3wxUxKYUnOA__jNEcAd\/s728-e3650\/cc.jpg\" alt=\"Cheval de Troie Android GravityRAT\" border=\"0\" data-original-height=\"473\" data-original-width=\"728\" title=\"Cheval de Troie Android GravityRAT\"\/><\/div>\n<p>Le modus operandi sugg\u00e8re que les cibles potentielles soient contact\u00e9es sur Facebook et Instagram dans le but de les inciter \u00e0 cliquer sur les liens et \u00e0 t\u00e9l\u00e9charger les applications malveillantes.<\/p>\n<p>GravityRAT, comme la plupart des portes d\u00e9rob\u00e9es Android, demande des autorisations intrusives sous le couvert d&#8217;une application apparemment l\u00e9gitime pour r\u00e9colter des informations sensibles telles que des contacts, des SMS, des journaux d&#8217;appels, des fichiers, des donn\u00e9es de localisation et des enregistrements audio \u00e0 l&#8217;insu de la victime.<\/p>\n<p>Les donn\u00e9es captur\u00e9es sont finalement exfiltr\u00e9es vers un serveur distant sous le contr\u00f4le de l&#8217;auteur de la menace.  Il convient de noter que l&#8217;utilisation de l&#8217;application est conditionnelle \u00e0 la possession d&#8217;un compte.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>Ce qui distingue la nouvelle version de GravityRAT, c&#8217;est sa capacit\u00e9 \u00e0 voler les fichiers de sauvegarde de WhatsApp et \u00e0 recevoir des instructions du serveur de commande et de contr\u00f4le (C2) pour supprimer les journaux d&#8217;appels, les listes de contacts et les fichiers avec des extensions particuli\u00e8res.<\/p>\n<p>&#8220;Ce sont des commandes tr\u00e8s sp\u00e9cifiques qui ne sont g\u00e9n\u00e9ralement pas vues dans les logiciels malveillants Android&#8221;, a soulign\u00e9 \u0160tefanko.<\/p>\n<p>Le d\u00e9veloppement intervient alors que les utilisateurs d&#8217;Android au Vietnam ont \u00e9t\u00e9 victimes d&#8217;une nouvelle souche de logiciels malveillants de vol de sperme bancaire connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2023\/06\/05\/helloteacher-new-android-malware-targeting-banking-users-in-vietnam\/\" target=\"_blank\">Bonjour enseignant<\/a> qui utilise des applications de messagerie l\u00e9gitimes comme Viber ou Kik comme couverture pour siphonner des donn\u00e9es sensibles et effectuer des transferts de fonds non autoris\u00e9s en abusant de l&#8217;API des services d&#8217;accessibilit\u00e9.<\/p>\n<p>Cyble a \u00e9galement d\u00e9couvert une escroquerie de cloud mining qui &#8220;invite les utilisateurs \u00e0 t\u00e9l\u00e9charger une application malveillante pour commencer \u00e0 miner&#8221;, uniquement pour profiter de ses autorisations aux services d&#8217;accessibilit\u00e9 pour collecter des informations sensibles \u00e0 partir de portefeuilles de crypto-monnaie et d&#8217;applications bancaires.<\/p>\n<p>Le cheval de Troie financier, dont le nom de code est Roamer, illustre la tendance \u00e0 utiliser les sites Web de phishing et les canaux Telegram comme vecteurs de distribution, \u00e9largissant ainsi efficacement le bassin de victimes potentielles.<\/p>\n<p>&#8220;Les utilisateurs doivent faire preuve de prudence et s&#8217;abstenir de suivre des canaux d&#8217;extraction de crypto-monnaie suspects sur des plateformes comme Telegram, car ces canaux peuvent entra\u00eener des pertes financi\u00e8res substantielles et compromettre des donn\u00e9es personnelles sensibles&#8221;, a d\u00e9clar\u00e9 Cyble. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2023\/06\/14\/cloud-mining-scam-distributes-roamer-banking-trojan\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/warning-gravityrat-android-trojan.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 juin 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 mobile \/ Confidentialit\u00e9 Une version mise \u00e0 jour d&#8217;un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance Android surnomm\u00e9 Gravit\u00e9RAT a \u00e9t\u00e9 trouv\u00e9 se faisant passer pour des applications de messagerie BingeChat et Chatico dans le cadre d&#8217;une campagne \u00e9troitement cibl\u00e9e depuis juin 2022. &#8220;Remarquable dans la campagne r\u00e9cemment d\u00e9couverte, GravityRAT peut exfiltrer [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":785595,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,4958,7968,4168,4158,4165,4161,21769,168612,4157,4159,4171,4170,65,4167,4160,4163,4162,99377,4172,4169,1549,8915,4166,1661,4164,13553],"class_list":["post-785594","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-avertissement","tag-cheval","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-fichiers","tag-gravityrat","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-sauvegardes","tag-securite-informatique","tag-securite-internet","tag-supprime","tag-troie","tag-violation-de-donnees","tag-vole","tag-vulnerabilite-logicielle","tag-whatsapp"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/785594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=785594"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/785594\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/785595"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=785594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=785594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=785594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}