Oblivion RAT (Android)

En quoi consiste le logiciel malveillant Oblivion RAT ?

Oblivion RAT est un cheval de Troie d'accès à distance qui permet aux pirates de contrôler à distance des appareils Android. Il est commercialisé sous forme de « malware-as-a-service » (MaaS), avec des tarifs allant de 300 dollars par mois à 2 200 dollars pour un accès à vie. Le service fournit des outils permettant de créer des applications infectées, de fausses pages de mise à jour destinées à inciter les utilisateurs à les installer, ainsi qu'un panneau de contrôle pour gérer les appareils infectés.

Oblivion RAT android malware

Présentation d'Oblivion RAT

Les développeurs du service à l'origine d'Oblivion proposent un outil APK Builder permettant de créer une application Android malveillante. Les pirates peuvent choisir le nom, l'icône et le nom du package de l'application. En mode furtif, l'application demande immédiatement l'accès aux fonctionnalités d'accessibilité, approuve automatiquement toutes les autorisations, masque son icône et n'affiche aucun écran visible.

Dans le deuxième mode, appelé « webview », l'application malveillante ouvre un site web d'apparence légitime pour servir de leurre, tout en obtenant secrètement les mêmes autorisations en arrière-plan. De plus, Oblivion peut être conçu pour donner l'impression d'être chiffré alors qu'il ne l'est pas. À l'intérieur du fichier de l'application, un paramètre technique indique aux programmes d'analyse que le fichier est chiffré.

De ce fait, de nombreux outils de sécurité cessent de fonctionner et affichent un message d'erreur indiquant qu'ils ne parviennent pas à lire le contenu. Cependant, le fichier n'est pas chiffré : il est simplement compressé. Cette fausse indication de chiffrement est ajoutée dans le but de semer la confusion chez les outils automatisés et de compliquer l'analyse de sécurité.

Fonctionnalités

Une fois qu'il a infecté un appareil et établi une connexion avec son serveur de commande, Oblivion offre à l'attaquant un contrôle à distance étendu sur le téléphone Android compromis. L'attaquant peut visualiser et contrôler l'écran en temps réel. Le logiciel malveillant enregistre également les frappes au clavier et les actions de l'utilisateur, notamment les applications utilisées et le moment où elles le sont. De plus, il permet un contrôle total sur les SMS.

En se désignant secrètement comme gestionnaire de SMS par défaut, le logiciel malveillant peut intercepter les SMS entrants, y compris les mots de passe à usage unique et les codes d'authentification à deux facteurs, avant que l'utilisateur n'en prenne connaissance. Le pirate peut également envoyer des SMS depuis le numéro de la victime.

Une autre fonctionnalité d'Oblivion analyse les applications installées et les classe par catégories telles que les services bancaires, les cryptomonnaies, les places de marché, les prêts et les services publics. Cela permet à l'attaquant d'identifier les comptes financiers de valeur et de les cibler à des fins de fraude ou de vol.

Résumé des menaces :
Nom	Cheval de Troie d'accès à distance Oblivion
Type de menace	Malware Android, cheval de Troie d'accès à distance (RAT)
Noms de détection	Avast (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Agent.aZVH), ESET-NOD32 (Android/Spy.Banker.EEK Trojan), Kaspersky (HEUR:Trojan.AndroidOS.Boogr.gsh), Liste complète (VirusTotal)
Symptômes	L'appareil fonctionne au ralenti, les paramètres système sont modifiés sans l'autorisation de l'utilisateur, des applications suspectes apparaissent, la consommation de données et de batterie augmente considérablement, les navigateurs redirigent vers des sites Web suspects et des publicités intrusives s'affichent.
Modes de distribution	Ingénierie sociale, applications trompeuses, sites web frauduleux, fausses mises à jour.
Dommages	Vol d'informations personnelles (messages privés, identifiants/mots de passe, etc.), baisse des performances de l'appareil, décharge rapide de la batterie, ralentissement de la connexion Internet, perte de données, pertes financières, usurpation d'identité.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

En conclusion, Oblivion est un cheval de Troie d'accès à distance pour Android qui permet aux pirates de prendre le contrôle des appareils de leurs victimes. Il est capable d'intercepter des messages sensibles, tels que des mots de passe à usage unique, et d'identifier les applications financières importantes, ce qui en fait une menace sérieuse tant pour les données personnelles que pour la sécurité financière.

Parmi les autres exemples de RAT ciblant les appareils Android, on peut citer ZeroDayRAT, Arsink et Cellik.

Comment le RAT Oblivion s'est-il introduit dans mon appareil ?

Les cybercriminels diffusent Oblivion en recourant à l'ingénierie sociale. Ils commencent par diffuser une application « dropper » malveillante via des plateformes de messagerie ou de rencontres. Ce « dropper » contient le logiciel malveillant principal dans un fichier compressé et intègre de fausses pages imitant le processus de mise à jour de Google Play.

La première page affiche une fausse barre de téléchargement et une fausse analyse de sécurité accompagnée de messages qui semblent légitimes. La deuxième page imite une page d'application authentique du Google Play Store. Elle affiche un faux nom de développeur, une fausse note attribuée par les utilisateurs et un bouton « Mettre à jour » afin de paraître digne de confiance.

Lorsque la victime appuie sur ce bouton, cela déclenche l'installation du logiciel malveillant de deuxième phase dissimulé. La troisième page guide la victime pour qu'elle autorise l'installation à partir de sources inconnues, en présentant cette étape comme une mesure de sécurité standard. Une fois cette opération terminée, le logiciel malveillant Oblivion RAT est entièrement installé et activé sur l'appareil.

Comment éviter l'installation de logiciels malveillants ?

Veillez à maintenir votre système d'exploitation et vos applications à jour, et ne téléchargez des logiciels qu'à partir de sites web officiels ou de boutiques d'applications réputées. Effectuez régulièrement des analyses à l'aide d'outils de sécurité fiables afin de détecter et de supprimer les menaces potentielles. Si vous recevez des e-mails ou des messages inattendus, en particulier ceux contenant des liens ou des pièces jointes, évitez d'en ouvrir le contenu.

De plus, évitez d'interagir avec des publicités, des fenêtres contextuelles ou des liens suspects lorsque vous consultez des sites web douteux, et refusez les demandes de notification provenant de sites web non fiables.

Panneau d'administration d'Oblivion RAT (source : iverify.io) :

Oblivion RAT source du panneau (iverify.io)

Menu rapide :

Introduction
Comment supprimer l'historique de navigation du navigateur Chrome ?
Comment désactiver les notifications dans le navigateur Chrome ?
Comment réinitialiser le navigateur web Chrome ?
Comment supprimer l'historique de navigation du navigateur web Firefox ?
Comment désactiver les notifications dans le navigateur web Firefox ?
Comment réinitialiser le navigateur web Firefox ?
Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
Comment démarrer un appareil Android en « mode sans échec » ?
Comment vérifier la consommation de batterie des différentes applications ?
Comment vérifier la consommation de données des différentes applications ?
Comment installer les dernières mises à jour logicielles ?
Comment réinitialiser le système à ses paramètres d'usine ?
Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur Chrome :

Supprimer l'historique de navigation Web dans Chrome sous Android (étape 1)

Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'affiche.

Supprimer l'historique de navigation Web dans Chrome sur le système d'exploitation Android (étape 2)

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications dans le navigateur Chrome :

Désactiver les notifications du navigateur Chrome sous Android (étape 1)

Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'affiche.

Désactiver les notifications du navigateur Chrome sous Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site », puis appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications », puis appuyez dessus.

Désactiver les notifications du navigateur Chrome sous Android (étape 3)

Recherchez les sites web autorisés à envoyer des notifications via le navigateur, appuyez dessus, puis cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites web pour l'envoi de notifications. Cependant, si vous visitez à nouveau ce site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web sera déplacé vers la section « Bloqués » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialiser le navigateur Web Chrome :

Réinitialisation du navigateur Chrome aux paramètres par défaut sous Android (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.

Réinitialisation du navigateur Chrome aux paramètres par défaut sous Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous trouviez l'application « Chrome », sélectionnez-la, puis appuyez sur l'option « Stockage ».

Resetting Chrome browser to default in Android operating system (step 3)

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants et mots de passe enregistrés, l'historique de navigation, les paramètres personnalisés et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Web Firefox :

Supprimer l'historique de navigation de Firefox sous Android (étape 1)

Appuyez sur le bouton « Menu » (les trois points situés dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'affiche.

Supprimer l'historique de navigation de Firefox sous Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées », puis appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer, puis appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans Firefox :

Désactiver les notifications du navigateur dans Firefox sous Android (étape 1)

Rendez-vous sur le site web qui envoie des notifications via le navigateur, appuyez sur l'icône située à gauche de la barre d'adresse (cette icône ne sera pas forcément un « Cadenas ») et sélectionnez « Modifier les paramètres du site ».

Désactiver les notifications du navigateur dans Firefox sous Android (étape 2)

Dans la fenêtre contextuelle qui s'ouvre, sélectionnez l'option « Notifications », puis appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Firefox :

Réinitialisation du navigateur Firefox sous Android (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.

Réinitialisation du navigateur Firefox sous Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous trouviez l'application « Firefox », sélectionnez-la, puis appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Firefox sous Android (étape 3)

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur entraînera la suppression de toutes les données qui y sont stockées. Cela signifie que tous les identifiants et mots de passe enregistrés, l'historique de navigation, les paramètres personnalisés et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Suppression des applications indésirables ou malveillantes du système d'exploitation Android (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications », puis appuyez dessus.

Suppression des applications indésirables ou malveillantes du système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le « Mode sans échec » du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous en empêchent lorsque l'appareil fonctionne « normalement »).

Démarrer un appareil Android en mode sans échec

Appuyez sur le bouton « Alimentation » et maintenez-le enfoncé jusqu'à ce que l'écran « Éteindre » s'affiche. Appuyez sur l'icône « Mise hors tension » et maintenez-la enfoncée. Après quelques secondes, l'option « Mode sans échec » apparaîtra et vous pourrez l'activer en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez la consommation de batterie des différentes applications :

Vérification de la consommation de batterie de différentes applications sous le système d'exploitation Android (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil », puis appuyez dessus.

Vérification de la consommation de batterie de différentes applications sous le système d'exploitation Android (étape 2)

Appuyez sur « Batterie » et vérifiez la consommation de chaque application. Les applications légitimes sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une consommation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez la consommation de données des différentes applications :

Vérification de la consommation de données des différentes applications sous Android (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions », puis appuyez dessus.

Vérification de la consommation de données des différentes applications sous Android (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Tout comme pour la batterie, les applications légitimes sont conçues pour réduire au maximum la consommation de données. Cela signifie qu'une consommation excessive de données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour ne fonctionner que lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et celle des données Wi-Fi.

Vérification de la consommation de données des différentes applications sous Android (étape 3)

Si vous constatez qu'une application consomme beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Il est recommandé de maintenir le logiciel à jour pour garantir la sécurité de votre appareil. Les fabricants publient régulièrement des correctifs de sécurité et des mises à jour Android afin de corriger les erreurs et les failles susceptibles d'être exploitées par des cybercriminels. Un système obsolète est bien plus vulnérable ; c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Installation des mises à jour logicielles sur le système d'exploitation Android (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle », puis appuyez dessus.

Installation des mises à jour logicielles sur le système d'exploitation Android (étape 2)

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à ses paramètres d'usine :

Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de rétablir les paramètres par défaut du système et de nettoyer l'appareil dans son ensemble. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (enregistrés dans l'appareil, et non sur la carte SIM), les SMS, etc. En d'autres termes, l'appareil sera réinitialisé à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Réinitialisation du système d'exploitation Android à ses paramètres d'usine (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone », puis appuyez dessus.

Réinitialisation du système d'exploitation Android à ses paramètres d'usine (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser », puis appuyez dessus. Choisissez ensuite l'action que vous souhaitez effectuer :
« Réinitialiser les paramètres » - rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » - rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » - réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges d'administrateur, elle peut causer de graves dommages au système. Pour garantir la sécurité optimale de votre appareil, vous devez toujours vérifier quelles applications disposent de ces privilèges et désactiver celles qui ne devraient pas en avoir.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 1)

Accédez à « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Écran de verrouillage et sécurité », puis appuyez dessus.

Désactiver les applications Android disposant de privilèges d'administrateur (étape 2)

Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications administrateur de l'appareil ».

Désactiver les applications Android disposant de privilèges d'administrateur (étape 3)

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware Oblivion RAT. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage de l'appareil peut permettre d'éliminer Oblivion RAT, mais cette solution ne doit être envisagée qu'en dernier recours, car elle efface toutes les données. Il est conseillé de commencer par effectuer une analyse complète du système à l'aide d'un outil de sécurité tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent entraîner toute une série de problèmes, notamment le ralentissement des performances de l'appareil, la suppression ou la corruption de fichiers, le vol d'informations personnelles, l'installation de programmes malveillants supplémentaires et l'octroi aux pirates d'un contrôle à distance sur l'appareil.

Quel est l'objectif du RAT Oblivion ?

Le but d'Oblivion RAT est de permettre aux pirates de prendre le contrôle à distance de l'appareil Android d'une victime. Il est conçu pour voler des informations sensibles, telles que des clés privées, des mots de passe, des SMS et des codes d'authentification à deux facteurs. Ce logiciel malveillant identifie également les applications financières et autres applications similaires.

Comment le logiciel malveillant Oblivion RAT s'est-il introduit dans mon appareil ?

Oblivion RAT infecte les appareils par le biais d'une fausse application de type « dropper » envoyée via des plateformes de messagerie ou de rencontres. L'application utilise de fausses pages de mise à jour de Google Play pour inciter l'utilisateur à autoriser les installations provenant de sources inconnues. Une fois l'application de deuxième phase installée, le malware complet est activé.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner est capable de détecter et de supprimer la plupart des logiciels malveillants connus. Étant donné que les menaces avancées peuvent parfois se cacher profondément dans le système, il est recommandé d'effectuer une analyse complète du système afin de s'assurer que tous les logiciels malveillants sont détectés et éliminés.