WolfRAT est un virus de Troie qui prend le contrôle des smartphones et collecte les données personnelles de l'utilisateur, principalement via WhatsApp et Messenger
Les chercheurs du Cisco Talos Security Intelligence and Research Group ont découvert un nouveau virus dangereux, qu'ils ont baptisé WolfRAT et qui cible particulièrement les applications de messagerie instantanée comme Facebook Messenger, Line et surtout WhatsApp. Il ne s'agit pas d'un nouveau virus, mais d'une nouvelle version d'un virus connu : DenDroid.
Pour être précis, il s'agit d'un " RAT ", ou Remote Access Trojan. Ces virus prennent le contrôle des appareils infectés afin de voler des données personnelles et d'espionner l'utilisateur. Dans le cas précis de WolfRAT, il s'agit d'un virus très étrange, car il semble être une version bâclée de DenDroid : plusieurs chaînes mortes (c'est-à-dire sans utilité) et quelques erreurs ont été trouvées dans son code, à tel point que le malware n'est pas toujours efficace. Cependant, le virus dont il dérive, à savoir DenDroid, bien que datant de 2015, reste assez élaboré et dangereux. Mais, surtout, WolfRAT semble pouvoir être rattaché à un groupe de hackers que l'on croit dissous.
WolfRAT : comment il fonctionne et ce que vous risquez
À l'heure actuelle, le risque de WolfRAT pour les utilisateurs italiens n'est que virtuel, car le virus n'a été isolé que sur des appareils en Thaïlande, où il s'est propagé (exactement comme pour DenDroid) via de fausses notifications de mise à jour de Chrome, Flash ou Play Store. Une fois installé sur l'appareil, WolfRAT l'infecte et commence à collecter des données telles que l'historique du navigateur et les listes d'appels et de SMS. Mais ce n'est pas tout, car le virus est également capable de prendre le contrôle de la caméra et du microphone et d'enregistrer, lorsque WhatsApp est ouvert, des vidéos de l'écran de l'utilisateur toutes les 50 secondes. Tout le matériel collecté est ensuite envoyé à des serveurs de commandement et de contrôle (C2) en Thaïlande. L'origine thaïlandaise du malware semblerait également être confirmée par certaines commandes JavaScript écrites dans la langue du pays asiatique.
Wolf Research est de retour ?
Selon les chercheurs de Talos, les serveurs recevant les données volées par WolfRAT peuvent être retracés jusqu'à un fournisseur de logiciels espions bien connu appelé Wolf Research, le même qui a développé DenDroid il y a cinq ans. Selon un rapport de 2018 de VirusTotal, Wolf Research a par le passé vendu à des gouvernements étrangers des logiciels malveillants permettant de surveiller à distance des appareils Windows, Android et iOS. Mais Wolf Research est officiellement fermé, car il a été transformé en une autre société appelée LokD. L'hypothèse de Talos est qu'il y a encore des ex-Wolf Research actifs et que ces personnages reprennent le code de DenDroid pour le retravailler en un nouveau virus plus puissant.