Comment supprimer MMRat du système d'exploitation
Écrit par Tomas Meskauskas le
Quel type de maliciel est MMRat ?
Depuis la fin du mois de juin 2023, un cheval de Troie bancaire Android nommé MMRat se concentre sur les utilisateurs mobiles en Asie du Sud-Est. Ce cheval de Troie est capable de capturer à la fois les entrées de l'utilisateur et l'activité de l'écran, tout en permettant le contrôle à distance des appareils ciblés par le biais de diverses méthodes. Cela permet aux attaquants d'effectuer des fraudes bancaires directement sur l'appareil de la victime.
Vue globale du maliciel MMRat
Comme indiqué précédemment, MMRat a la capacité de capturer les données de l'utilisateur, le contenu de l'écran et d'exercer un contrôle à distance sur les appareils de la victime. Son fonctionnement efficace dépend de l'utilisation du service Android Accessibility et de l'API MediaProjection.
MMRat se fait parfois passer pour une application gouvernementale ou de rencontre lorsqu'il est ouvert pour tromper les utilisateurs. Il affiche ensuite un faux site web pour tromper les utilisateurs. Ensuite, il installe un récepteur pour écouter certains événements système, comme lorsque l'appareil s'allume ou s'éteint. Lorsque ces événements se produisent, le maliciel fait quelque chose de discret pour continuer à fonctionner.
Une fois le service Accessibility activé, MMRat se connecte à un serveur contrôlé par l'attaquant. MMRat utilise différents ports du même serveur pour différentes tâches, telles que l'exfiltration de données, la diffusion de vidéos et la commande et le contrôle. Après avoir reçu l'autorisation d'accessibilité, MMRat peut l'utiliser à mauvais escient pour s'octroyer des autorisations supplémentaires et modifier les paramètres.
MMRat a la capacité d'acquérir des autorisations automatiquement. Pour ce faire, il affiche la boîte de dialogue du système et accède automatiquement aux demandes d'autorisation qui lui parviennent. On sait que le maliciel se concentre sur la collecte d'informations à partir de la liste de contacts de la victime et de la liste des applis installées.
MMRat abuse également du service Accessibility pour capturer ce que les utilisateurs tapent et font, enregistrant ainsi leurs actions (keylogging - enregistrement de frappe). Ces informations peuvent être utilisées pour s'emparer des données de connexion de la victime et enregistrer ses actions en vue d'une utilisation ultérieure sur l'appareil.
Contrairement à d'autres maliciels d'enregistrement de frappe qui ciblent des situations spécifiques, comme l'enregistrement des touches lors de l'utilisation d'une application bancaire, MMRat enregistre tout ce que font les utilisateurs et l'envoie au serveur de l'attaquant en utilisant le canal C&C.
Outre l'enregistrement régulier des touches, le maliciel se concentre également sur le motif de l'écran de verrouillage de l'appareil. Lorsqu'il détecte que l'utilisateur déverrouille l'appareil, il capture la valeur du motif et l'envoie au serveur de l'attaquant par l'intermédiaire de son canal C&C. De cette manière, l'acteur de la menace peut pénétrer dans l'appareil de la victime même s'il est verrouillé.
En outre, MMRat peut s'emparer de l'affichage de l'écran de l'appareil de la victime et l'envoyer à un serveur en temps réel. Pour ce faire, il utilise l'API MediaProjection pour enregistrer ce qui se passe sur l'écran de la victime.
Le maliciel MMRat exploite également le service Accessibility pour prendre le contrôle à distance de l'appareil de la victime, ce qui lui permet d'exécuter des actions telles que des gestes, le déverrouillage d'écrans et la saisie de texte, entre autres fonctions. Les acteurs de la menace peuvent utiliser cette capacité, ainsi que des informations d'identification volées, pour réaliser des fraudes bancaires et d'autres activités malveillantes.
Ce maliciel est capable de contrôler l'appareil à distance, même lorsque les victimes n'utilisent pas les appareils infectés. Enfin, le maliciel MMRat peut se retirer de l'appareil lorsqu'il reçoit une commande spécifique du serveur C&C. Cela se produit généralement après qu'il a commis une fraude bancaire ou une autre activité malveillante. Cela se produit généralement après qu'il a commis une fraude bancaire, ce qui rend plus difficile le suivi de ses actions.
| Nom | Cheval de Troie Bancaire MMRat |
| Type de Menace | Maliciel Android, Application Malveillante Cheval de Troie Bancaire. |
| Noms de Détection | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Agent.gHWAO), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.mj), ZoneAlarm by Check Point (HEUR:Trojan-Banker.AndroidOS.Agent.mj), Liste complète (VirusTotal) |
| Symptômes | L'appareil fonctionne lentement, les paramètres du système sont modifiés sans l'autorisation de l'utilisateur, l'utilisation des données et de la batterie augmente de manière significative, des transactions financières non autorisées sont effectuées et d'autres activités suspectes sont observées. |
| Méthodes de Distribution | Sites web d'hameçonnage se faisant passer pour des boutiques d'applications légitimes, fausses applications (par exemple, applications de rencontres ou applications gouvernementales). |
| Dommages | Usurpation d'identité, accès non autorisé à des comptes bancaires, répercussions financières, atteintes à la vie privée, etc. |
| Suppression des maliciels (Android) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre appareil mobile avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Conclusion
En conclusion, le maliciel MMRat représente une menace importante en raison de ses capacités multiples, allant de la capture des entrées utilisateur et du contenu de l'écran au contrôle à distance des appareils via le service Accessibility et l'API MediaProjection.
Sa capacité à opérer discrètement, en se faisant passer pour des applications légitimes et en accordant automatiquement des autorisations, renforce son potentiel de nuisance. L'accent mis par le maliciel sur la capture des schémas de l'écran de verrouillage, le contenu de l'écran en temps réel et sa fonction d'autodestruction souligne sa conception sophistiquée.
D'autre exemples de maliciels visant les utilisateurs Android sont CraxsRAT, CherryBlos, et CriminalBot.
Comment MMRat s'est-il infiltré dans mon appareil ?
MMRat est généralement acquis à partir de sites web d'hameçonnage qui se font passer pour des boutiques d'applications officielles. Ces sites, qui se distinguent principalement par leur langue, suggèrent des groupes de victimes ciblés. La méthode de distribution des liens d'hameçonnage sur les appareils des victimes reste incertaine.
Les appareils sont infectés lorsque les utilisateurs téléchargent et installent MMRat à leur insu et donnent au maliciel les autorisations nécessaires. MMRat se connecte ensuite à un serveur distant et envoie des données importantes, telles que l'état de l'appareil, des informations personnelles et des données d'enregistrement de frappe.
Comment éviter l'installation de maliciels ?
Ne téléchargez des applications qu'à partir de sources fiables, comme le Google Play Store officiel, car des mesures de sécurité ont été mises en place pour minimiser le risque d'installation d'applications malveillantes. Avant de télécharger une application, prenez le temps de lire les commentaires et les évaluations des utilisateurs. Mettez régulièrement à jour le système d'exploitation et les applications de votre appareil pour bénéficier des derniers correctifs de sécurité.
Ne faites pas confiance aux publicités, liens et pop-up divers sur les sites web louches. En outre, soyez prudent lorsque vous accordez des autorisations à des applications ; examinez attentivement les autorisations et évitez d'accorder un accès inutile à vos informations personnelles. Enfin, envisagez d'utiliser des antivirus ou des applis de sécurité réputés qui peuvent rechercher et aider à prévenir les infections par des maliciels sur votre appareil.
Sites d'hameçonnage imitant des boutiques d'applications légitimes :
Le maliciel MMRat imite l'application PEA Smart Plus :
Menu rapide :
- Introduction
- Comment supprimer l'historique de navigation dans le navigateur web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur web Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimez l'historique de navigation du navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Cliquez sur "Effacer les données de navigation", sélectionnez l'onglet "AVANCÉ", choisissez la plage de temps et les types de données que vous souhaitez supprimer et cliquez sur "Effacer les données".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant ouvert.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Paramètres du site" et cliquez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et cliquez dessus.
Trouvez les sites Web qui fournissent des notifications de navigateur, cliquez dessus et cliquez sur "Effacer et réinitialiser". Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, une fois que vous visitez à nouveau le même site, il peut demander à nouveau une autorisation.Vous pouvez choisir de donner ou non ces autorisations (si vous choisissez de refuser, le site Web ira dans la section "Bloqué" et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "GÉRER LE STOCKAGE", puis sur "EFFACER TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Supprimez l'historique de navigation du navigateur Web Firefox :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Effacer les données privées" et cliquez dessus. Sélectionnez les types de données que vous souhaitez supprimer et cliquez sur "EFFACER LES DONNÉES".
[Retour à la Table des Matières]
Désactivez les notifications du navigateur dans le navigateur Web Firefox :
Visitez le site Web qui fournit les notifications du navigateur, cliquez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un "cadenas") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre pop-up ouverte, optez pour l'option "Notifications" et cliquez sur "EFFACER".
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "EFFACER LES DONNÉES" et confirmez l'action en appuyant sur "SUPPRIMER". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et cliquez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, vous êtes invité avec un message d'erreur), vous devez essayer d'utiliser le "Mode sans échec".
[Retour à la Table des Matières]
Démarrez l'appareil Android en "Mode sans échec" :
Le "Mode sans échec" du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Cliquez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que vous voyiez l'écran "Power off". Cliquez sur l'icône "Éteindre" et maintenez-la enfoncée. Après quelques secondes, l'option "Mode sans échec" apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez l'utilisation de la batterie de diverses applications :
Allez dans "Paramètres", faites défiler jusqu'à ce que vous voyiez "Maintenance de l'appareil" et cliquez dessus.
Cliquez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour utiliser le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation massive des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté au réseau sans fil. Pour cette raison, vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui consomme beaucoup de données alors que vous ne l'utilisez jamais, alors nous vous conseillons vivement de la désinstaller au plus vite.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient continuellement divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être abusés par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Cliquez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement" - cela permettra au système de vous avertir lorsqu'une mise à jour est publiée et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
Effectuer une "réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données de l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état initial.
Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.
Allez dans "Paramètres", faites défiler jusqu'à ce que vous voyiez "À propos du téléphone" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Réinitialiser" et cliquez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
"Réinitialiser les paramètres" - restaurer tous les paramètres système par défaut ;
"Réinitialiser les paramètres réseau" - restaurer tous les paramètres liés au réseau par défaut ;
"Réinitialisation des données d'usine" - réinitialisez l'ensemble du système et supprimez complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications disposant de privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut sérieusement endommager le système. Pour garder l'appareil aussi sûr que possible, vous devez toujours vérifier quelles applications ont de tels privilèges et désactiver celles qui ne le devraient pas.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Écran de verrouillage et sécurité" et cliquez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Autres paramètres de sécurité", cliquez dessus, puis cliquez sur "Applications d'administration de l'appareil".
Identifiez les applications qui ne doivent pas avoir de privilèges d'administrateur, appuyez dessus, puis appuyez sur "DÉSACTIVER".
Foire Aux Questions (FAQ)
Mon appareil est infecté par le maliciel MMRat, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Si votre appareil est infecté par le maliciel MMRat, le formatage de votre périphérique de stockage peut être une solution. Toutefois, cette opération effacera toutes les données présentes sur l'appareil. Avant de procéder au formatage, vous pouvez essayer d'utiliser un logiciel antivirus réputé tel que Combo Cleaner pour supprimer le maliciel sans procéder au formatage.
Quels sont les principaux problèmes que les maliciels peuvent causer ?
Les maliciels peuvent compromettre des informations personnelles et financières sensibles, ce qui entraîne un vol d'identité et une perte financière. Ils peuvent également perturber le fonctionnement normal de l'ordinateur en provoquant des pannes de système, des ralentissements et des corruptions de données. Les maliciels sophistiqués tels que les rançongiciels peuvent empêcher les utilisateurs d'accéder à leurs fichiers et exiger un paiement pour leur libération, ce qui entraîne une perte de données, une interruption de l'activité et une extorsion financière potentielle.
Quel est l'objectif du maliciel MMRat ?
Le maliciel MMRat a pour objectif de mener diverses activités malveillantes sur les appareils Android. Il est conçu pour capturer les entrées de l'utilisateur, le contenu de l'écran et les schémas de l'écran de verrouillage, ce qui lui permet de prendre le contrôle à distance des appareils des victimes. Ce contrôle permet aux opérateurs du maliciel de mener des actions telles que l'accès non autorisé, la fraude bancaire, l'usurpation potentielle d'identité, et plus encore.
Comment le maliciel MMRat s'est-il infiltré dans mon appareil ?
Le maliciel MMRat s'infiltre généralement dans les appareils par le biais de sites web d'hameçonnage déguisés en boutiques d'applications légitimes. Les utilisateurs téléchargent et installent à leur insu des maliciels à partir de ces sites trompeurs.
Combo Cleaner me protégera-t-il des maliciels ?
Oui, Combo Cleaner peut trouver et supprimer la plupart des types de maliciels. Cependant, certains maliciels sournois peuvent être difficiles à trouver, il est donc préférable d'effectuer une analyse complète de l'ensemble de votre système pour être sûr de tous les trouver.
!Remarquable!
▼ Montrer la discussion