Comment supprimer le cheval de Troie Rafel d'accès à distance de votre appareil Android
Écrit par Tomas Meskauskas le
Quel type de malware est Rafel ?
Rafel est un cheval de Troie d'accès à distance (RAT) open-source qui cible les appareils Android. Ce programme permet de prendre le contrôle à distance des machines infectées. Rafel peut manipuler les appareils, voler et fonctionner comme ransomware.
Ce RAT est compatible avec les versions 5 à 12 d'Android et a été utilisé pour infecter plusieurs marques et modèles de smartphones. Rafel a été utilisé dans plus de 100 campagnes par différents acteurs de la menace, y compris le groupe d'espionnage "DoNot Team" (APT-C-35). Le logiciel malveillant a été modifié pour répondre aux besoins des attaquants.
Rafel est utilisé dans le monde entier, les régions les plus touchées étant les États-Unis, la Chine, l'Inde et l'Indonésie. Le cheval de Troie a été utilisé contre des organisations bien connues et des entités associées à l'armée. Une attaque remarquable a permis de pirater avec succès un site du gouvernement pakistanais.
Aperçu du logiciel malveillant Rafel
Comme indiqué dans l'introduction, il existe plusieurs versions de Rafel. Voici un aperçu des capacités les plus courantes rencontrées dans les différentes variantes. En règle générale, ce cheval de Troie s'infiltre dans les appareils sous l'apparence d'applications légitimes (ou prétendues telles).
Rafel peut soit demander aux victimes de lui accorder diverses autorisations, soit les obtenir furtivement (pour ne pas éveiller les soupçons en demandant des autorisations non pertinentes/invasives). Après avoir réussi à s'infiltrer dans un appareil et à obtenir les privilèges/autorisations nécessaires, le cheval de Troie d'accès à distance commence à collecter les données de base de l'appareil.
Les informations ciblées comprennent : les caractéristiques du modèle de l'appareil, les détails du matériel (par exemple, la quantité de RAM), l'état de la racine, les informations sur la batterie (pourcentage de charge), les paramètres linguistiques, l'opérateur, les données de géolocalisation, les applications installées, etc. Rafel peut également suivre l'emplacement de l'appareil en direct.
Les versions de ce logiciel malveillant utilisent des mécanismes d'anti-détection et de garantie de la persistance. Par exemple, le cheval de Troie peut imiter une application légitime, contourner Google Play Protect, être exempté de la mise en veille forcée à des fins d'optimisation de la batterie, démarrer automatiquement au redémarrage du système, fonctionner en arrière-plan même après la fermeture de l'application, et ainsi de suite.
La RAT abuse également des services d'accessibilité d'Android. Ils sont conçus comme une aide supplémentaire à l'interaction avec l'appareil pour les utilisateurs qui en ont besoin. Les services d'accessibilité peuvent lire les écrans, simuler l'écran tactile, interagir avec le clavier, etc. Par conséquent, les logiciels malveillants qui utilisent ces services bénéficient de toutes leurs fonctionnalités. De nombreux RAT Android s'appuient sur les services d'accessibilité Android pour manipuler les appareils.
En outre, Rafel peut exfiltrer et supprimer des fichiers, et même effacer des cartes mémoire SD. Le cheval de Troie peut empêcher les écrans de s'assombrir ou de se verrouiller (wakelock), faire vibrer l'appareil et donner des commandes de synthèse vocale (c'est-à-dire lire des messages aux victimes).
Le logiciel malveillant extrait les listes de contacts et les journaux d'appels, qu'il peut également supprimer. Rafel peut collecter et envoyer des messages SMS. Les programmes qui ont la capacité de passer des appels téléphoniques ou d'envoyer des SMS peuvent être utilisés comme Toll Fraud malware, bien qu'il n'y ait pas eu d'attaques connues utilisant Rafel à ce titre.
Une autre fonctionnalité de ce RAT est le vol de notifications, et il a été utilisé pour obtenir des codes 2FA/MFA (Two/Multi-Factor Authentication) et des OTP (One-Time Passwords).
En outre, Rafel peut fonctionner comme un ransomware cryptant les fichiers et verrouillant l'écran. Les logiciels classés dans cette catégorie cryptent les données et/ou verrouillent l'écran de l'appareil afin d'exiger une rançon pour le décryptage ou la récupération de l'accès.
Dans les infections connues par le ransomware Rafel, celui-ci chiffre les fichiers et rend les appareils inaccessibles en modifiant le mot de passe de l'écran de verrouillage. Les fonds d'écran de l'écran d'accueil et de l'écran de verrouillage de l'appareil étaient remplacés par un message demandant une rançon. La victime était également avertie de l'attaque par SMS, accompagné d'une commande de vibration. Toutefois, ce RAT pourrait suivre un protocole différent (par exemple, alerter les victimes par le biais d'une notification Discord, d'un message en synthèse vocale, etc.)
En résumé, la présence d'un logiciel malveillant comme Rafel sur des appareils peut entraîner une perte permanente de données, de graves problèmes de confidentialité, des pertes financières importantes et même un vol d'identité. Il est pertinent de mentionner que les attaques dirigées contre des cibles très sensibles (comme Rafel l'a été par le passé) comportent des risques plus importants.
Nom | Rafel cheval de Troie d'accès à distance |
Type de menace | Android malware, application malveillante, cheval de Troie d'accès à distance, outil d'administration à distance, RAT. |
Noms de détection | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Backdoor.828.origin), ESET-NOD32 (Une variante de Android/Agent.CIT), Kaspersky (HEUR:Trojan-Ransom.AndroidOS.Agent.ak), Liste complète (VirusTotal) |
Symptômes | Les chevaux de Troie sont conçus pour s'infiltrer furtivement dans l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme significatif n'est clairement visible sur une machine infectée. Cependant, l'appareil peut fonctionner lentement, les paramètres du système sont modifiés sans l'autorisation de l'utilisateur et l'utilisation des données et de la batterie augmente. |
Méthodes de distribution | Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, applications trompeuses, sites web frauduleux. |
Dommages | Vol d'informations personnelles (messages privés, identifiants/mots de passe, etc.), baisse des performances de l'appareil, épuisement rapide de la batterie, baisse de la vitesse de l'internet, pertes massives de données, pertes monétaires, vol d'identité (des applications malveillantes peuvent abuser des applications de communication). |
Suppression des maliciels (Android) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre appareil mobile avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Exemples de chevaux de Troie d'accès à distance
Brokewell, Joker, VajraSpy, et Rusty Droid sont quelques-uns de nos derniers articles sur les RAT qui ciblent les appareils Android. Les trojans d'accès à distance peuvent être incroyablement multifonctionnels et polyvalents. Pourtant, même les logiciels malveillants dotés d'un éventail de capacités particulièrement restreint mettent en péril l'intégrité du système et la sécurité de l'utilisateur.
Par conséquent, quel que soit le mode de fonctionnement d'un programme malveillant, il doit être éliminé dès qu'il est détecté.
Comment Rafel s'est-il infiltré dans mon appareil ?
Rafel a été distribué par des sources douteuses qui imitent des entités légitimes. Le logiciel malveillant a été observé sous différents déguisements, notamment des applications de médias sociaux (Instagram), des messageries (WhatsApp), des plateformes de commerce électronique, des logiciels d'assistance et des outils antivirus, entre autres.
Toutefois, il convient de mentionner que ce RAT pourrait proliférer en s'appuyant sur différentes méthodes. L'hameçonnage et l'ingénierie sociale sont courants dans la distribution des logiciels malveillants. Les logiciels malveillants sont souvent déguisés ou regroupés avec du contenu normal.
Les techniques de prolifération les plus répandues sont les suivantes : canaux de téléchargement non fiables (par exemple, sites d'hébergement de fichiers gratuits et freeware, réseaux de partage P2P, magasins d'applications tiers, etc.), téléchargements "drive-by" (furtifs/trompeurs), programmes/médias piratés, pièces jointes/liens malveillants dans le spam (par exemple, ), escroqueries en ligne, publicité malveillante, outils illégaux d'activation de logiciels ("cracks"), et de fausses mises à jour.
De plus, certains programmes malveillants peuvent se propager via les réseaux locaux et les dispositifs de stockage amovibles (disques durs externes, clés USB, etc.).
Il convient de noter que les logiciels malveillants peuvent être hébergés par des sources de téléchargement authentiques (par exemple, Google Play Store, etc.) Bien que sa longévité sur ces plateformes soit généralement brève (le logiciel malveillant est signalé et supprimé rapidement), les cybercriminels peuvent considérer qu'il est suffisamment rentable.
Comment éviter l'installation de logiciels malveillants ?
Nous recommandons vivement d'effectuer des recherches sur les logiciels en lisant les conditions et les commentaires des utilisateurs/experts, en vérifiant les autorisations nécessaires, en vérifiant la légitimité du développeur, etc. En outre, tous les téléchargements doivent être effectués à partir de canaux officiels et vérifiés.
Il est également recommandé d'activer et de mettre à jour les programmes en utilisant des fonctions/outils légitimes, car ceux acquis auprès de tiers peuvent contenir des logiciels malveillants.
Nous vous conseillons d'être vigilant lorsque vous naviguez, car les contenus en ligne frauduleux et malveillants semblent généralement légitimes et inoffensifs. Les courriels et autres messages entrants doivent être traités avec prudence. Les pièces jointes ou les liens trouvés dans des courriers suspects/irréprochables ne doivent pas être ouverts, car ils peuvent être infectieux.
Il convient de souligner l'importance de l'installation et de la mise à jour d'un antivirus fiable. Les logiciels de sécurité doivent être utilisés pour effectuer des analyses régulières du système et pour supprimer les menaces et les problèmes détectés.
Déguisements portés par Rafel RAT et autorisations demandées (source de l'image - Check Point) :
Menu rapide :
- Introduction
- Comment supprimer l'historique de navigation du navigateur web Chrome ?
- Comment désactiver les notifications dans le navigateur web Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour du logiciel ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimer l'historique de navigation du navigateur web Chrome :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Histoire" dans le menu déroulant qui s'ouvre.
Appuyez sur "Effacer les données de navigation", sélectionnez l'onglet "ADVANCED", choisissez la période et les types de données que vous souhaitez supprimer et appuyez sur "Effacer les données".
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur web Chrome :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Paramètres du site" et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et appuyez dessus.
Recherchez les sites web qui envoient des notifications au navigateur, appuyez dessus et cliquez sur "Effacer et réinitialiser". Cette opération supprime les autorisations accordées à ces sites web pour la diffusion de notifications. Toutefois, si vous visitez à nouveau le même site, il est possible qu'une autorisation vous soit à nouveau demandée. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section "Bloqué" et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialiser le navigateur web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et appuyez sur l'option "Storage".
Appuyez sur "GESTION STOCKAGE", puis sur "Effacer TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Supprimer l'historique de navigation du navigateur web Firefox :
Appuyez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Histoire" dans le menu déroulant qui s'ouvre.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Effacer les données privées" et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur "Effacer les données".
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur web Firefox :
Visitez le site web qui émet des notifications de navigateur, appuyez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un "Lock") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre qui s'ouvre, sélectionnez l'option "Notifications" et appuyez sur "CLEAR".
[Retour à la Table des Matières]
Réinitialiser le navigateur web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et appuyez sur l'option "Storage".
Appuyez sur "Effacer les données" et confirmez l'action en appuyant sur "Effacer". Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous connecter à nouveau à tous les sites web.
[Retour à la Table des Matières]
Désinstaller les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Apps" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le "Mode sûr".
[Retour à la Table des Matières]
Démarrez l'appareil Android en "mode sans échec" :
Le "Safe Mode" du système d'exploitation Android empêche temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Appuyez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que l'écran "Power off" s'affiche. Appuyez sur l'icône "Éteindre" et maintenez-la enfoncée. Après quelques secondes, l'option "Safe Mode" apparaît et vous pouvez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifier l'utilisation de la batterie des différentes applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Maintenance de l'appareil" et appuyez dessus.
Appuyez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour utiliser le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifier l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Connexions" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser l'utilisation des données autant que possible. Cela signifie qu'une utilisation importante de données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous conseillons vivement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installer les dernières mises à jour du logiciel :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues susceptibles d'être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et appuyez dessus.
Appuyez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement", qui permet au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialiser le système à son état par défaut :
Effectuer une "Réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de rétablir les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera ramené à son état initial.
Vous pouvez également restaurer les paramètres de base du système et/ou simplement les paramètres du réseau.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "A propos du téléphone" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Réinitialiser" et appuyez dessus. Choisissez ensuite l'action que vous souhaitez effectuer:
"Réinitialiser les paramètres" - rétablir tous les paramètres système par défaut;
"Réinitialiser les paramètres réseau" - rétablir tous les paramètres réseau par défaut;
"Réinitialiser les données d'usine" - réinitialiser l'ensemble du système et effacer complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactiver les applications qui ont des privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour que votre appareil soit aussi sûr que possible, vous devez toujours vérifier quelles applications disposent de ces privilèges et désactiver celles qui ne devraient pas en avoir.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Écran de verrouillage et sécurité" et appuyez dessus.
Faites défiler vers le bas jusqu'à ce que vous voyiez "Autres paramètres de sécurité", appuyez dessus, puis appuyez sur "Applications d'administration d'appareils".
Identifiez les applications qui ne devraient pas avoir de privilèges d'administrateur, appuyez sur ces applications et appuyez sur "DEACTIVATE".
Foire aux questions (FAQ)
Mon appareil Android est infecté par le logiciel malveillant Rafel. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?
La suppression des logiciels malveillants nécessite rarement un formatage.
Quels sont les principaux problèmes que le logiciel malveillant Rafel peut causer ?
Les dangers liés à une infection dépendent des fonctionnalités du logiciel malveillant et du mode opératoire des cybercriminels. Rafel est un RAT - un cheval de Troie qui permet d'accéder à des appareils à distance et de les contrôler. Il est également capable de voler des informations sensibles et de fonctionner comme un ransomware.
Les infections de ce type peuvent entraîner la perte de données, de graves problèmes de confidentialité, des pertes financières et le vol d'identité. Rafel a été utilisé contre des organisations de haut niveau et des entités liées à l'armée - de telles attaques peuvent représenter des menaces plus importantes.
Quel est l'objectif du logiciel malveillant Rafel ?
Les logiciels malveillants sont principalement utilisés à des fins lucratives et Rafel a été utilisé dans ce type d'attaques. Toutefois, comme indiqué dans la réponse ci-dessus, ce cheval de Troie a été utilisé dans des infections ayant des motivations politiques/géopolitiques.
Outre les gains financiers et les attaques motivées par des raisons idéologiques ou internationales, les logiciels malveillants sont utilisés pour amuser les attaquants, se livrer à des vendettas personnelles, perturber des processus (sites web, services, entreprises, etc.) et s'engager dans l'hacktivisme.
Comment le logiciel malveillant Rafel s'est-il infiltré dans mon appareil Android ?
Rafel s'est notamment répandu sous l'apparence d'un logiciel légitime et inoffensif. Les sources qui le distribuent imitent des canaux/entités authentiques. Cependant, ce cheval de Troie pourrait se propager en s'appuyant sur d'autres techniques.
Les méthodes de distribution des logiciels malveillants les plus répandues sont les suivantes : sources de téléchargement douteuses (par exemple, sites d'hébergement de logiciels et de fichiers gratuits, réseaux de partage P2P, magasins d'applications tiers, etc.), téléchargements "drive-by", escroqueries en ligne, courrier indésirable, publicité malveillante, contenu piraté, outils d'activation de logiciels illégaux ("cracks"), et fausses mises à jour. En outre, certains programmes malveillants peuvent se propager d'eux-mêmes par le biais de réseaux locaux et de dispositifs de stockage amovibles.
Combo Cleaner me protège-t-il des logiciels malveillants ?
Oui, Combo Cleaner peut détecter et éliminer presque tous les logiciels malveillants connus. N'oubliez pas que les logiciels malveillants sophistiqués se cachent généralement au cœur des systèmes. Il est donc essentiel d'effectuer une analyse complète du système.
▼ Montrer la discussion