Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les chercheurs d’ESET ont découvert un nouveau ransomware pour Android et ont créé un outil de déchiffrement

juin 2020 par ESET

Une nouvelle famille de ransomwares, qu’ESET a nommé CryCryptor, ciblait des utilisateurs d’Android au Canada sous le couvert d’une application officielle de suivi de COVID-19. ESET a mis un terme à l’attaque.

Grâce à un tweet annonçant la découverte de ce qui semblait être un malware bancaire sur Android, les chercheurs d’ESET ont découvert une campagne de ransomware ciblant des utilisateurs d’Android au Canada. En utilisant deux sites web sur le thème de COVID-19, les auteurs de la campagne ont incité leurs victimes à télécharger un ransomware déguisé en outil de suivi officiel de COVID-19. Les deux sites ont été depuis mis hors service. Les chercheurs d’ESET ont développé un outil de déchiffrement pour les victimes de CryCryptor, grace à un bug dans l’application malveillante.

« CryCryptor contient un bug dans son code qui permet à toute application installée sur l’appareil concerné d’activer les services fournis par l’application malveillante. Nous avons donc créé une application qui lance la fonctionnalité de déchiffrement intégrée à CryCryptor, » explique Lukáš Štefanko, qui a mené les recherches.

Le ciblage et le calendrier de la campagne du ransomware coïncident avec l’annonce faite par le gouvernement canadien de son intention de soutenir le développement d’une application de suivi volontaire à l’échelle nationale, appelée COVID Alert.

« Il est clair que la campagne utilisant CryCryptor a été conçue pour exploiter l’annonce de l’application officielle de suivi de COVID-19, » commente M. Štefanko. Maintenant que les sites web malveillants ont été mis hors d’usage, que les fournisseurs de solutions de sécurité ont été informées, et que l’outil de déchiffrement est disponible, cette application ne représente plus une menace. Cela n’est toutefois valable que pour une version particulière de CryCryptor. CryCryptor repose sur du code open source. « Nous avons informé GitHub, qui héberge le code, mais ils n’ont pas un très bon bilan lorsqu’il s’agit de démanteler des projets malveillants, » ajoute M. Štefanko.

Les produits d’ESET offrent une protection contre le ransomware CryCryptor, et le détectent sous le nom Android/CryCryptor.A.

« Outre l’utilisation d’une solution de sécurité mobile de qualité, nous conseillons aux utilisateurs d’Android de n’installer que des applications provenant de sources réputées telles que la boutique Google Play, » conclut M. Štefanko d’ESET.




Voir les articles précédents

    

Voir les articles suivants