Comment supprimer GhostGrab des appareils Android
de TroieÉgalement connu sous le nom de: Maliciel bancaire GhostGrab
Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.
SUPPRIMEZ-LES MAINTENANTPour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
Qu'est-ce que GhostGrab ?
GhostGrab est un malware Android à double fonction qui vole des données financières tout en utilisant secrètement les appareils infectés pour miner des cryptomonnaies. Il collecte les identifiants bancaires, les données de carte bancaire et les codes à usage unique (via l'interception de SMS), enregistre les empreintes digitales des appareils et exécute un mineur caché. S'il est détecté sur un appareil, GhostGrab doit être éliminé dès que possible.
GhostGrab en détail
L'attaque commence sur un site malveillant. Un script présent sur ce site redirige automatiquement le navigateur et le force à télécharger un fichier APK malveillant. Le fichier APK téléchargé est le dropper, la première étape utilisée pour injecter d'autres logiciels malveillants sur l'appareil de la victime. Le dropper trompe les utilisateurs avec un faux écran « Mise à jour » afin d'obtenir l'autorisation d'installer des applications directement (plutôt que via Google Play).
Il charge une page Web distante dans un WebView et simule un appareil iOS, qui peut être utilisé pour le phishing ou l'affichage de publicités malveillantes. Le logiciel malveillant s'enregistre également auprès de Firebase pour recevoir des commandes à distance. Enfin, il lance un mineur Monero, qui permet aux cybercriminels d'utiliser l'appareil comme mineur de cryptomonnaie.
Module de vol bancaire
De plus, le dropper de GhostGrab injecte une charge utile de type « banking stealer ». Ce module peut lire et capturer des notifications (y compris des codes à usage unique), désactiver ou modifier le mode silencieux, passer des appels téléphoniques, exécuter des services cachés, ainsi que lire, copier et modifier des fichiers et des médias sur l'appareil.
De plus, le module bancaire peut afficher des notifications fausses ou trompeuses, accéder à des photos, des vidéos et des fichiers audio, lire les identifiants des appareils et les détails des téléphones, et lire les textes stockés. Il peut également intercepter les SMS entrants (tels que les OTP) et envoyer des textes. Le logiciel malveillant se cache afin de ne pas apparaître dans le lanceur du téléphone et peut fonctionner discrètement en arrière-plan.
GhostGrab peut afficher de fausses pages bancaires et demander des informations personnelles, telles que le nom, le numéro de téléphone et le numéro de compte. Si l'utilisateur sélectionne l'option carte de débit, il demande le numéro complet de la carte, la date d'expiration, le numéro CVV et le code PIN du distributeur automatique. Si l'utilisateur choisit les services bancaires en ligne, le logiciel malveillant lui demande son identifiant utilisateur, son mot de passe de connexion et son mot de passe de transaction.
Chaque formulaire présente des données correctement formatées, ce qui permet à l'attaquant d'obtenir des informations précises qu'il peut utiliser pour pirater des comptes ou voler de l'argent. Le logiciel malveillant regroupe toutes ces informations dans un fichier de données et les télécharge vers une base de données en ligne (Firebase), permettant ainsi à l'attaquant d'accéder à ces informations à distance.
Voleur de données SIM
De plus, le logiciel malveillant peut voler des informations sur les cartes SIM et le réseau mobile de l'appareil. Cela comprend les numéros de téléphone, le nom de l'opérateur, le numéro de série unique de la carte SIM, l'emplacement de chaque carte SIM, les identifiants de l'appareil liés au réseau mobile et d'autres détails relatifs au réseau.
GhostGrab peut également intercepter tous les messages texte entrants. Il copie le contenu du message, les informations relatives à l'expéditeur et les identifiants de l'appareil, puis envoie ces informations à l'attaquant. Il peut également transférer les messages directement vers l'appareil de l'attaquant ou les envoyer à un numéro spécifié.
Il est essentiel de noter que GhostGrab peut rechercher des termes liés aux opérations bancaires, tels que « transaction » et « retrait », dans les messages, ce qui permet aux pirates de surveiller les messages liés aux opérations bancaires et de suivre les transactions.
De plus, le logiciel malveillant peut activer ou désactiver le transfert d'appel sur un appareil infecté. Il compose des codes spéciaux pour transférer les appels entrants vers un autre numéro (celui de l'attaquant), masque cette opération et peut intercepter des appels importants, tels que ceux concernant les mots de passe à usage unique.
| Nom | Maliciel bancaire GhostGrab |
| Type de menace | Maliciel Android, voleur d'informations, mineur de cryptomonnaie |
| Noms de détection | Avast (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aOZF), ESET-NOD32 (Une variante de Android/TrojanDropper.Agent.MUO), Kaspersky (HEUR:Trojan-Dropper. AndroidOS.Banker.bc), liste complète (VirusTotal) |
| Symptômes | L'appareil fonctionne lentement, les paramètres système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, des publicités intrusives sont diffusées. |
| Méthodes de distribution | Ingénierie sociale, sites Web malveillants, applications trompeuses. |
| Dommages | Vol d'informations personnelles (messages privés, identifiants/mots de passe, etc.), baisse des performances de l'appareil, décharge rapide de la batterie, baisse de la vitesse Internet, pertes importantes de données, pertes financières, usurpation d'identité. |
|
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo CleanerUn scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk. |
Conclusion
GhostGrab est un logiciel malveillant Android qui se cache sur l'appareil, vole des informations sensibles et s'exécute en arrière-plan sans être détecté. Il capture des informations personnelles, des identifiants bancaires, des SMS et des données SIM/réseau, et peut même transférer des appels ou intercepter des mots de passe à usage unique (OTP). Il utilise également l'appareil pour miner secrètement des cryptomonnaies pour le compte des pirates.
D'autres exemples de voleurs Android sont Klopatra, Datzbro et PhantomCard.
Comment GhostGrab s'est-il infiltré dans mon appareil ?
GhostGrab est diffusé via un site web malveillant qui force le navigateur à télécharger un APK dropper, puis incite l'utilisateur à l'installer. Les victimes sont redirigées depuis une page malveillante par JavaScript, qui télécharge automatiquement un APK. Le dropper affiche ensuite un faux écran « Mise à jour » du Play Store pour inciter les utilisateurs à installer des charges utiles cachées en dehors de Google Play.
Comment éviter l'installation de logiciels malveillants ?
Installez toujours les applications à partir du Google Play Store officiel ou des sites officiels, et consultez les avis. Ne cliquez pas sur les liens contenus dans des SMS, e-mails ou publications sur les réseaux sociaux suspects. Mettez régulièrement à jour le système d'exploitation et les applications. Utilisez Google Play Protect et une application de sécurité mobile réputée.
Évitez également d'interagir avec les publicités, les fenêtres contextuelles et les liens rencontrés sur des sites Web suspects.
Les logiciels malveillants demandent diverses autorisations (source : cyfirma.com) :
GhostGrab affiche de faux formulaires pour récupérer les informations relatives aux cartes de débit (source : cyfirma.com) :
Le logiciel malveillant présente de faux formulaires afin de récupérer les informations bancaires en ligne (source : cyfirma.com) :
Menu rapide :
- Introduction
- Comment supprimer l'historique de navigation du navigateur web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en « mode sans échec » ?
- Comment vérifier la consommation de batterie des différentes applications ?
- Comment vérifier l'utilisation des données de différentes applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications disposant de privilèges d'administrateur ?
Supprimer l'historique de navigation du navigateur Web Chrome :
Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.
Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur Web Chrome :
Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site » et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications » et appuyez dessus.
Recherchez les sites Web qui envoient des notifications par navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, lorsque vous visiterez à nouveau le même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section « Bloqué » et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Chrome :
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.
Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».
Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Supprimer l'historique de navigation du navigateur Web Firefox :
Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur Web Firefox :
Accédez au site Web qui envoie les notifications du navigateur, appuyez sur l'icône affichée à gauche de la barre d'adresse (l'icône ne sera pas nécessairement « Verrouiller ») et sélectionnez « Modifier les paramètres du site ».
Dans la fenêtre contextuelle qui s'ouvre, sélectionnez l'option « Notifications » et appuyez sur « EFFACER ».
[Retour à la Table des Matières]
Réinitialisez le navigateur Web Firefox :
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.
Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».
Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Désinstallez les applications potentiellement indésirables et/ou malveillantes :
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».
[Retour à la Table des Matières]
Démarrez l'appareil Android en « mode sans échec » :
Le « Mode sans échec » du système d'exploitation Android désactive temporairement toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous empêchent de le faire lorsque l'appareil fonctionne « normalement »).
Appuyez sur le bouton « Power » et maintenez-le enfoncé jusqu'à ce que l'écran « Power off » s'affiche. Appuyez sur l'icône « Power off » et maintenez-la enfoncée. Après quelques secondes, l'option « Safe Mode » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifiez l'utilisation de la batterie par différentes applications :
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil » et appuyez dessus.
Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifiez l'utilisation des données de différentes applications :
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions » et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installez les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité des appareils. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle » et appuyez dessus.
Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.
Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone » et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
Réinitialiser les paramètres » : rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactivez les applications disposant de privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour assurer la sécurité maximale de votre appareil, vous devez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.
Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Écran de verrouillage et sécurité » et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications d'administration de l'appareil ».
Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».
Foire aux questions (FAQ)
Mon appareil est infecté par le malware GhostGrab, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
GhostGrab peut être supprimé en réinitialisant l'appareil aux paramètres d'usine, mais cela efface également toutes les données stockées. Avant de prendre cette mesure, essayez d'analyser l'appareil à l'aide d'une application antivirus fiable telle que Combo Cleaner.
Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?
Les logiciels malveillants peuvent être utilisés pour voler des informations personnelles, endommager des systèmes, crypter des fichiers, donner aux pirates un accès à distance, installer des outils malveillants supplémentaires et, au final, causer des pertes financières, des usurpations d'identité, des pertes de données et d'autres problèmes.
Quel est l'objectif de GhostGrab ?
GhostGrab est conçu pour voler secrètement des informations bancaires et personnelles à partir d'appareils Android, intercepter des messages et des appels, et lancer un mineur de cryptomonnaie.
Comment GhostGrab s'est-il infiltré dans mon appareil ?
Il est probable que le logiciel malveillant ait été diffusé à partir d'un site web malveillant qui a forcé votre navigateur à télécharger un fichier APK dropper, puis vous a incité à l'installer. Le dropper a ensuite affiché un faux écran « Mise à jour » du Play Store pour vous contraindre à installer des charges utiles cachées en dehors de Google Play.
Combo Cleaner me protégera-t-il contre les logiciels malveillants ?
Combo Cleaner peut identifier et supprimer la plupart des logiciels malveillants connus, mais les menaces plus sophistiquées peuvent se cacher profondément dans le système, rendant nécessaire une analyse complète de l'appareil.
Partager:
Facebook
X.com
LinkedIn
Copier le lien
Tomas Meskauskas
Chercheur expert en sécurité, analyste professionnel en logiciels malveillants
Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.
Le portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un donLe portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un don
▼ Montrer la discussion