Comment supprimer le maliciel SMSSpy de votre appareil Android ?
Écrit par Tomas Meskauskas le (mis à jour)
Qu'est-ce que SMSSpy ?
SMSSpy fait référence à un maliciel se faisant passer pour diverses applications de plates-formes de commerce électronique légitimes. Ce maliciel vise à obtenir les identifiants bancaires en ligne des victimes et ainsi accéder aux fonds stockés sur les comptes. Au moment où nous avons recherché SMSSpy, il ciblait exclusivement les utilisateurs malaisiens. Le programme malveillant a la capacité d'extraire les informations d'identification de huit banques populaires qui offrent leurs services en Malaisie.
Selon un rapport publié sur le site Web welivesecurity.com d'ESET, les campagnes de diffusion de SMSSpy ont été identifiées pour la première fois fin 2021. Le maliciel a été présenté comme une application de Maid4u - un service de nettoyage légitime, et il a été promu via la publicité malveillante sur Facebook.
Présentation de SMSSpy
Le maliciel lui-même n'est pas particulièrement haut de gamme. Il ne demande qu'une seule autorisation aux utilisateurs - lire les SMS entrants (messages texte). SMSSpy cherche à accéder à ces messages pour contourner tout processus 2FA (Two-Factor Authentication) en obtenant des codes d'authentification potentiels envoyés par la banque ciblée.
Cependant, les victimes peuvent toujours voir tous les messages texte reçus, car ce maliciel ne peut pas les supprimer. Ainsi, si la banque envoie des alertes concernant une activité suspecte sur leurs comptes, les utilisateurs pourront lire les SMS.
Comme mentionné dans l'introduction, les recherches d'ESET ont révélé que SMSSpy a d'abord été approuvé par des publicités malveillantes sur Facebook. Les publicités ont conduit les victimes vers de fausses pages Web, qui imitent de véritables sites malaisiens, par exemple, Grabmaid, Maid4u, MaidACall, Maideasy, Maria's Cleaning, YourMaid et PetsMore. Six d'entre eux proposent des services de nettoyage, tandis que le septième propose des produits de soins pour animaux de compagnie.
Les sites Web illégitimes sont assez sophistiqués et imitent étroitement la conception de l'original. Cependant, l'achat direct via les faux sites n'est pas disponible et les utilisateurs sont invités à installer l'application de la boutique en ligne à partir de Google Play. Pourtant, lorsque la victime tente de le faire, elle est redirigée vers un serveur malveillant et télécharge SMSSpy à la place.
Il est à noter qu'une installation réussie nécessite que l'option "Installer des applications inconnues" soit activée sur l'appareil car il ne s'agit pas du paramètre par défaut. De plus, il est pertinent de mentionner que seules deux des plates-formes de commerce électronique légitimes ont réellement leurs applications sur Google Play.
Lors de l'ouverture, les applications malveillantes demandent à l'utilisateur de se connecter - et que les informations d'identification fournies soient correctes ou non - elles sont acceptées comme telles.
Les déguisements de SMSSpy semblent également opérationnels, c'est-à-dire que les utilisateurs peuvent parcourir et sélectionner des produits/services. Lorsque les victimes essaient de payer leur commande, deux options leur sont présentées : virement bancaire ou carte de crédit (bien que cette dernière n'était pas opérationnelle au moment de la recherche). La fausse passerelle de paiement demande à l'utilisateur de sélectionner sa banque - Affin Bank, Bank Islam Malaysia, BSN, CIMB Bank, Maybank, Hong Leong Bank, Public Bank Berhad ou RHB. SMSSpy peut enregistrer les identifiants et mots de passe de toutes ces banques.
Immédiatement après que les victimes ont entré leurs informations d'identification, une fausse erreur leur est présentée, affirmant que les données fournies étaient incorrectes. Cependant, les informations de connexion ont déjà été envoyées aux cybercriminels et la capacité de lecture des SMS du maliciel garantit que toute activité illégale sur le compte ne sera pas empêchée par la vérification 2FA.
Pour résumer, les infections SMSSpy peuvent entraîner de graves problèmes de confidentialité et des pertes financières importantes. Si vous soupçonnez que votre appareil Android est déjà infecté par ce maliciel ou un autre, nous vous conseillons fortement d'utiliser un antivirus pour l'éliminer sans délai.
| Nom | Virus SMSSpy |
| Type de menace | Maliciel Android, application malveillante, application indésirable. |
| Noms de détection | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.SmsSpy.11081), ESET-NOD32 (Une variante d'Android/Spy.SmsSpy.UZ), Kaspersky (HEUR:Trojan-Spy.AndroidOS.SmsThief.rz), Liste complète (VirusTotal) |
| Domaines associés | cleangmy[.]site, grabamaid-my[.]online, maidacalls[.]online, my-maid4us[.]site, petsmore[.]online, token2[.]club, yourmaid[.]online |
| Les symptômes | L'appareil fonctionne lentement, les paramètres système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, les navigateurs redirigent vers des sites Web douteux, des publicités intrusives sont diffusées. |
| Modes de diffusion | Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, applications trompeuses, sites Web frauduleux. |
| Dégâts | Informations personnelles volées (messages privés, identifiants/mots de passe, etc.), diminution des performances de l'appareil, batterie s'épuisant rapidement, vitesse Internet réduite, énormes pertes de données, pertes monétaires, identité volée (des applications malveillantes peuvent abuser des applications de communication). |
| Suppression des maliciels (Android) | Pour éliminer les infections par des maliciels, nos chercheurs en sécurité recommandent d'analyser votre appareil Android avec un logiciel anti-maliciel légitime. Nous recommandons Avast, Bitdefender, ESET ou Malwarebytes. |
Exemples de maliciels bancaires
Nous avons analysé des dizaines de programmes malveillants ciblant les systèmes d'exploitation Android ; Octo, Escobar et Xenomorph sont quelques exemples de nos dernières découvertes de maliciels bancaires.
Les maliciels peuvent avoir diverses capacités dans différentes combinaisons. Le vol de données bancaires ou d'autres informations vulnérables est une caractéristique commune à de nombreux programmes nuisibles. Par conséquent, ceux conçus pour extraire des données peuvent également provoquer des infections en chaîne, verrouiller l'écran de l'appareil (rançongiciel bloqueur d'écran) ou effectuer un certain nombre d'actions malveillantes.
Comment SMSSpy a-t-il infiltré mon appareil ?
Comme détaillé précédemment, SMSSpy se propage sous le couvert d'applications appartenant à de véritables plateformes de commerce électronique (au moment de la rédaction, celles qui proposent des services de nettoyage et des articles de soins pour animaux de compagnie en Malaisie). Les fausses applications sont promues via des sites Web également frauduleux des boutiques en ligne imitées. Ces sites ont été promus via des publicités Facebook malveillantes.
Cependant, les maliciels prolifèrent à l'aide de diverses techniques, et SMSSpy peut ne pas faire exception. Les escroqueries en ligne et les spams (SMS, courriels, etc.) sont couramment utilisés pour diffuser des sites Web malveillants et des fichiers infectieux (par exemple, des archives, des exécutables, des documents PDF et Microsoft Office, JavaScript, etc.).
Les canaux de téléchargement douteux, tels que les logiciels gratuits et les sites Web d'hébergement de fichiers gratuits, les réseaux de partage Peer-to-Peer et d'autres sources tierces, approuvent fréquemment les maliciels (généralement déguisés ou associés à du contenu régulier).
Des cybercriminels ont été remarqués abusant du Google Play Store pour héberger leurs applications malveillantes. Les fausses mises à jour et les outils d'activation de logiciels illégaux ("cracks") sont également populaires dans la distribution de maliciels.
Comment éviter l'installation de maliciels ?
Nous vous recommandons vivement de rechercher un logiciel et de le télécharger uniquement à partir de canaux officiels et vérifiés. De plus, tous les programmes doivent être activés et mis à jour à l'aide de fonctions/outils fournis par des développeurs légitimes.
Les pièces jointes et les liens présents dans les courriels et messages suspects/non pertinents - ne doivent pas être ouverts, car cela pourrait entraîner une infection par un maliciel. Une autre recommandation est de faire preuve de prudence lors de la navigation - car le contenu frauduleux et malveillant semble généralement authentique et inoffensif.
Nous devons souligner l'importance d'avoir un antivirus fiable installé et tenu à jour. Un logiciel de sécurité doit être utilisé pour exécuter des analyses régulières du système et pour supprimer les menaces.
Comparaison d'apparence entre les sites légitimes (à gauche) et les faux distribuant SMSSpy (à droite) ; source - welivesecurity.com :
Menu rapide:
- Introduction
- Comment supprimer l'historique de navigation du navigateur Web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
- Comment réinitialiser le navigateur Web Chrome ?
- Comment supprimer l'historique de navigation du navigateur Web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "Mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimez l'historique de navigation du navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Cliquez sur "Effacer les données de navigation", sélectionnez l'onglet "AVANCÉ", choisissez la plage de temps et les types de données que vous souhaitez supprimer et cliquez sur "Effacer les données".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant ouvert.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Paramètres du site" et cliquez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et cliquez dessus.
Trouvez les sites Web qui fournissent des notifications de navigateur, cliquez dessus et cliquez sur "Effacer et réinitialiser". Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, une fois que vous visitez à nouveau le même site, il peut demander à nouveau une autorisation.Vous pouvez choisir de donner ou non ces autorisations (si vous choisissez de refuser, le site Web ira dans la section "Bloqué" et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "GÉRER LE STOCKAGE", puis sur "EFFACER TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Supprimez l'historique de navigation du navigateur Web Firefox :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Effacer les données privées" et cliquez dessus. Sélectionnez les types de données que vous souhaitez supprimer et cliquez sur "EFFACER LES DONNÉES".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur Web Firefox :
Visitez le site Web qui fournit les notifications du navigateur, cliquez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un "cadenas") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre pop-up ouverte, optez pour l'option "Notifications" et cliquez sur "EFFACER".
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "EFFACER LES DONNÉES" et confirmez l'action en appuyant sur "SUPPRIMER". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et cliquez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, vous êtes invité avec un message d'erreur), vous devez essayer d'utiliser le "Mode sans échec".
[Retour à la Table des Matières]
Démarrez l'appareil Android en "Mode sans échec" :
Le "Mode sans échec" du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Cliquez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que vous voyiez l'écran "Power off". Cliquez sur l'icône "Éteindre" et maintenez-la enfoncée. Après quelques secondes, l'option "Mode sans échec" apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez l'utilisation de la batterie de diverses applications :
Allez dans "Paramètres", faites défiler jusqu'à ce que vous voyiez "Maintenance de l'appareil" et cliquez dessus.
Cliquez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour utiliser le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation massive des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté au réseau sans fil. Pour cette raison, vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui consomme beaucoup de données alors que vous ne l'utilisez jamais, alors nous vous conseillons vivement de la désinstaller au plus vite.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient continuellement divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être abusés par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Cliquez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement" - cela permettra au système de vous avertir lorsqu'une mise à jour est publiée et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
Effectuer une "réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données de l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état initial.
Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.
Allez dans "Paramètres", faites défiler jusqu'à ce que vous voyiez "À propos du téléphone" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Réinitialiser" et cliquez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
"Réinitialiser les paramètres" - restaurer tous les paramètres système par défaut ;
"Réinitialiser les paramètres réseau" - restaurer tous les paramètres liés au réseau par défaut ;
"Réinitialisation des données d'usine" - réinitialisez l'ensemble du système et supprimez complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications disposant de privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut sérieusement endommager le système. Pour garder l'appareil aussi sûr que possible, vous devez toujours vérifier quelles applications ont de tels privilèges et désactiver celles qui ne le devraient pas.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Écran de verrouillage et sécurité" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Autres paramètres de sécurité", cliquez dessus, puis cliquez sur "Applications d'administration de l'appareil".
Identifiez les applications qui ne doivent pas avoir de privilèges d'administrateur, appuyez dessus, puis appuyez sur " DÉSACTIVER ".
Foire Aux Questions (FAQ)
Mon appareil Android est infecté par le maliciel SMSSpy, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Non, de telles mesures drastiques ne sont pas nécessaires pour la suppression de SMSSpy.
Quels sont les plus gros problèmes que le maliciel SMSSpy peuvent causer ?
Les menaces posées par un maliciel dépendent de ses fonctionnalités et du mode opératoire des attaquants. SMSSpy cible les données bancaires ; par conséquent, ses principales menaces comprennent de graves problèmes de confidentialité et des pertes financières.
Quel est le but du maliciel SMSSpy ?
Basé sur les capacités de SMSSpy (c'est-à-dire le vol des identifiants de connexion bancaires), il est clairement conçu pour générer des revenus aux dépens des victimes. Bien que le profit soit la motivation la plus courante derrière les attaques de maliciels, ce logiciel peut également être utilisé pour : amuser les cybercriminels, perturber certains processus (par exemple, des sites Web, des services, des entreprises, etc.), lancer des attaques à motivation politique/géopolitique ou effectuer des vendettas personnelles.
Comment le maliciel SMSSpy a-t-il infiltré mon appareil ?
Les maliciels malveillants sont principalement distribués par le biais d'escroqueries en ligne, de téléchargements intempestifs (furtifs et trompeurs), de spams (par exemple, courriels, SMS, etc.), de publicités malveillantes, de sources de téléchargement douteuses (par exemple, sites non officiels et de logiciels gratuits, réseaux de partage P2P, etc.). ), des outils d'activation de programmes illégaux ("cracking") et de fausses mises à jour. De plus, certains programmes malveillants peuvent s'auto-proliférer via des réseaux locaux ou des périphériques de stockage débranchés (par exemple, des disques durs externes, des clés USB, etc.).
!Remarquable!
▼ Montrer la discussion