Comment supprimer AhRat d'un appareil Android
Écrit par Tomas Meskauskas le (mis à jour)
Quel type de maliciel est AhRat ?
AhRat est un cheval de Troie d'accès à distance (RAT) qui se concentre sur l'infiltration des appareils Android. Il a été distribué par le biais d'une application d'enregistrement d'écran trojanisée, qui a été déguisée et proposée au téléchargement sur le Google Play Store.
La version originale de l'application qui a été téléchargée sur le magasin ne possédait aucune caractéristique malveillante, mais par la suite, les acteurs de la menace ont manipulé sa fonctionnalité et introduit des composants malveillants dans l'application.
Vue générale d'AhRat
AhRat est basé sur un autre RAT appelé AhMyth, et il est évident qu'il existe au moins deux versions du code malveillant AhRat. L'application trojanisée utilisée pour distribuer AhRat s'appelle iRecorder - Screen Recorder.
En plus d'offrir de véritables capacités d'enregistrement d'écran, l'application malveillante iRecorder a la capacité de capturer le son du microphone de l'appareil et de le transmettre au serveur de commande et de contrôle (C&C) du pirate.
En outre, l'application peut extraire et transférer des fichiers de différents formats, y compris des pages web sauvegardées, des images, des fichiers audio, vidéo et des documents, ainsi que des archives compressées contenant plusieurs fichiers de l'appareil compromis.
Les activités malveillantes particulières de l'application, telles que la capture d'enregistrements de microphones et le vol de fichiers avec des extensions spécifiques, indiquent fortement son implication dans une campagne d'espionnage. On sait que l'application trojanisée contenant le code AhRat a été retirée du Google Play Store. Cependant, elle peut être téléchargée sur des pages et des magasins non officiels.
En savoir plus sur AhRat
Une fois installé, AhRat établit une communication avec le serveur de commande et de contrôle (C&C) en transmettant des informations essentielles sur l'appareil et en récupérant les clés de chiffrement ainsi qu'un fichier de configuration chiffré.
Après le premier contact, AhRat envoie des requêtes régulières au serveur C&C toutes les 15 minutes, afin d'obtenir un fichier de configuration mis à jour. Ce fichier comprend diverses commandes et détails de configuration à mettre en œuvre sur l'appareil ciblé, tels que le répertoire d'extraction des données de l'utilisateur, les types de fichiers spécifiques à extraire, un seuil de taille de fichier, la durée d'enregistrement du microphone et l'intervalle entre les enregistrements.
Cet intervalle de 15 minutes correspond à la réception du nouveau fichier de configuration du serveur C&C. Le fichier de configuration décrypté comprend un ensemble de commandes plus important que celui qu'AhRat est actuellement programmé pour exécuter, ce qui suggère que certaines fonctionnalités malveillantes n'ont pas été intégrées.
Cela implique qu'AhRat pourrait être une version simplifiée semblable à sa version initiale, qui ne contenait que du code malveillant non modifié provenant du RAT AhMyth. Néanmoins, AhRat reste capable d'extraire des fichiers de l'appareil et d'enregistrer du son via le microphone de l'appareil.
| Nom | Cheval de Troie d'accès à distance AhRat |
| Type de Menace | Maliciel Android, application malicielle, application non désirée. |
| Noms de Détection | Avast-Mobile (Android:Evo-gen [Trj]), Avira (ANDROID/SpyAgent..zfxiz), ESET-NOD32 (Android/Spy.AhRat.A), Kaspersky (HEUR:Backdoor.AndroidOS.Ahmyth.u), Liste complète (VirusTotal) |
| Symptômes Possibles | L'appareil fonctionne lentement, les paramètres du système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, les navigateurs sont redirigés vers des sites web douteux, des publicités intrusives sont diffusées. |
| Méthodes de Distribution | Version trojanisée de l'application iRecorder - Enregistreur d'écran |
| Dommages | Vol d'informations personnelles, baisse des performances des appareils, pertes massives de données, pertes financières, usurpation d'identité, etc. |
| Suppression du Maliciels (Android) | Pour éliminer les infections par des maliciels, nos chercheurs en sécurité recommandent de scanner votre appareil Android avec un logiciel anti-maliciel légitime. Nous recommandons Avast, Bitdefender, ESET ou Malwarebytes. |
Conclusion
AhRat peut causer des dommages importants à ses victimes. En exfiltrant des fichiers de l'appareil compromis, il peut entraîner la perte ou la divulgation non autorisée de données sensibles, ce qui peut conduire à des atteintes à la vie privée et à des vols d'identité. En outre, la capacité d'enregistrer des données audio par le biais du microphone de l'appareil peut compromettre des conversations personnelles, ce qui porte encore plus atteinte à la vie privée de la victime.
AhRat étant basé sur AhMyth, les acteurs de la menace peuvent l'utiliser pour mener d'autres activités malveillantes.
Comment AhRat s'est-il infiltré dans mon appareil ?
AhRat a été distribué par le biais d'une application trojanisée appelée iRecorder - Screen Recorder, disponible sur le Google Play Store. L'application a été initialement téléchargée sur le magasin sans aucune fonctionnalité malveillante en septembre 2021. Toutefois, il semble que des fonctionnalités malveillantes aient été ajoutées ultérieurement dans une version plus récente d'iRecorder - Screen Recorder.
La version propre d'iRecorder a été modifiée par l'incorporation d'un code malveillant dérivé du RAT open-source AhMyth. Ainsi, les utilisateurs qui ont téléchargé et installé l'appli trojanisée ont infecté par inadvertance leurs appareils avec AhRat, qui est basé sur le maliciel susmentionné.
Comment éviter l'installation de maliciels ?
Veillez à ne télécharger des applications qu'à partir de sources fiables, telles que le Google Play Store officiel et des sites web de confiance. Examinez en priorité les autorisations des applications et ne donnez que les autorisations nécessaires. Maintenez votre appareil et vos applications Android à jour pour bénéficier des derniers correctifs de sécurité. Activez Play Protect pour renforcer la sécurité.
Faites preuve de prudence avec les applications qui n'ont pas été évaluées et évitez d'interagir avec des publicités sur des sites web suspects.
iRecorder - Application d'enregistrement d'écran contenant un code malveillant :
Permissions demandées par l'application iRecorder - Enregistreur d'écran :
Menu Rapide :
- Introduction
- Comment supprimer l'historique de navigation dans le navigateur web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur web Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimez l'historique de navigation du navigateur web Chrome :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant qui s'ouvre.
Appuyez sur "Effacer les données de navigation", sélectionnez l'onglet "AVANCÉ", choisissez la période et les types de données que vous souhaitez supprimer et appuyez sur "Effacer les données".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur web Chrome :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Paramètres du site" et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et appuyez dessus.
Recherchez les sites web qui envoient des notifications au navigateur, appuyez dessus et cliquez sur "Effacer et réinitialiser". Cette opération supprimera les autorisations accordées à ces sites web pour la diffusion de notifications. Toutefois, si vous visitez à nouveau le même site, il est possible qu'une autorisation vous soit à nouveau demandée. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section "Bloqué" et ne vous demandera plus d'autorisation).
[Retour à la Table des Matières]
Réinitialisez le navigateur web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et appuyez sur l'option "Stockage".
Appuyez sur "GÉRER LE STOCKAGE", puis sur "EFFACER TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous connecter à nouveau à tous les sites web.
[Retour à la Table des Matières]
Supprimez l'historique de navigation du navigateur web Firefox :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Effacer les données privées" et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur "EFFACER DONNÉES".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur web Firefox :
Visitez le site web qui émet des notifications de navigateur, appuyez sur l'icône affichée à gauche de la barre d'URL (l'icône n'est pas nécessairement un "verrou") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre qui s'ouvre, choisissez l'option "Notifications" et appuyez sur "EFFACER".
[Retour à la Table des Matières]
Réinitialisez le navigateur web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et appuyez sur l'option "Stockage".
Tapez sur "EFFACER LES DONNÉES" et confirmez l'action en tapant sur "EFFACER". Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous connecter à nouveau à tous les sites web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le "mode sans échec".
[Retour à la Table des Matières]
Démarrez l'appareil Android en "mode sans échec" :
Le "mode sans échec" du système d'exploitation Android empêche temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Appuyez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que l'écran "Power off" s'affiche. Appuyez sur l'icône "Power off" et maintenez-la enfoncée. Après quelques secondes, l'option "Mode sans échec" apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez l'utilisation de la batterie des différentes applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Maintenance de l'appareil" et appuyez dessus.
Appuyez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Connexions" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser l'utilisation des données autant que possible. Cela signifie qu'une utilisation importante de données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous conseillons vivement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour d'Android afin de corriger les erreurs et les bogues susceptibles d'être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et appuyez dessus.
Appuyez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement", qui permet au système de vous avertir dès qu'une mise à jour est disponible et de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
La "réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de rétablir les paramètres par défaut du système et de nettoyer l'appareil en général. Toutefois, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état initial.
Vous pouvez également restaurer les paramètres de base du système et/ou simplement les paramètres du réseau.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "À propos du téléphone" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Réinitialiser" et appuyez dessus. Choisissez ensuite l'action que vous souhaitez effectuer :
"Réinitialiser les paramètres" - rétablit tous les paramètres du système par défaut ;
"Réinitialiser les paramètres réseau" - rétablit les paramètres par défaut de tous les paramètres liés au réseau ;
"Réinitialisation des données d'usine" - réinitialise l'ensemble du système et supprime toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications qui ont des privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour que votre appareil soit aussi sûr que possible, vous devez toujours vérifier quelles applications disposent de ces privilèges et désactiver celles qui ne le devraient pas.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Verrouillage de l'écran et sécurité" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Autres paramètres de sécurité", appuyez dessus, puis appuyez sur "Applications d'administration de l'appareil".
Identifiez les applications qui ne devraient pas avoir de privilèges d'administrateur, appuyez sur ces applications et appuyez sur "DÉSACTIVER".
Foire Aux Questions (FAQ)
Quels sont les principaux problèmes causés par les maliciels ?
Les maliciels peuvent être à l'origine de problèmes importants, tant pour les particuliers que pour les organisations. Ils peuvent compromettre la sécurité et la confidentialité des informations personnelles, entraînant des vols d'identité et des pertes financières. Les maliciels peuvent également perturber le fonctionnement normal d'une entreprise en provoquant des pannes de système, en ralentissant les appareils ou en les rendant complètement inutilisables. En outre, certains types de maliciels, tels que les rançongiciels, peuvent crypter des fichiers et exiger un paiement pour leur libération, ce qui entraîne une perte de données et des préjudices financiers potentiels.
Quel est l'objectif du maliciel AhRat ?
Le but du maliciel AhRat est d'obtenir un accès à distance non autorisé aux appareils Android et de mener des activités malveillantes. Ces activités peuvent inclure le vol d'informations sensibles, telles que des données et des fichiers personnels, l'enregistrement de données audio via le microphone de l'appareil et, éventuellement, des actions d'espionnage.
Comment le maliciel AhRat s'est-il infiltré dans mon appareil ?
AhRat a été diffusé par le biais d'une application d'enregistrement d'écran trojanisée nommée iRecorder - Screen Recorder, qui a été mise à disposition sur le Google Play Store. L'application trojanisée a été initialement téléchargée sans aucune fonctionnalité malveillante, mais a ensuite été modifiée par les acteurs de la menace pour inclure le maliciel AhRat.
Combo Cleaner me protège-t-il des maliciels ?
Combo Cleaner a la capacité de détecter et de supprimer un large éventail de maliciels connus. Cependant, il est important de savoir que les maliciels sophistiqués peuvent souvent se cacher profondément dans le système. Par conséquent, il est fortement recommandé d'effectuer une analyse complète du système pour garantir la détection et la suppression de tout maliciel potentiel.
!Remarquable!
▼ Montrer la discussion