Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET découvre une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

juillet 2019 par ESET

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Les chercheurs d’ESET ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum «  XDA developers  », destiné aux développeurs Android  ; mais ici, après avoir été alertés par ESET, les opérateurs ont retiré les messages malveillants.

«  La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon  », commente Lukáš Štefanko, le chercheur ESET qui a mené l’enquête. «  Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse  ».

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. «  En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens  !  », poursuit Lukáš Štefanko.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. «  Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin  », observe Lukáš Štefanko.




Voir les articles précédents

    

Voir les articles suivants