ESET découvre une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

Prochain article

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Les chercheurs d’ESET ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; mais ici, après avoir été alertés par ESET, les opérateurs ont retiré les messages malveillants.

« La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon », commente Lukáš Štefanko, le chercheur ESET qui a mené l’enquête. « Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse ».

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », poursuit Lukáš Štefanko.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.

Selon le chercheur, les utilisateurs dont les appareils sont protégés par ESET Mobile Security ne sont pas concernés par cette menace. « Ils reçoivent un avertissement en recevant le lien malveillant ; s’ils l’ignorent et téléchargent l’application malgré tout, la solution de sécurité le bloquera ».

Pour rester en sécurité avec leurs appareils Android, les utilisateurs doivent s’en tenir aux principes de sécurité de base :

- Maintenez vos appareils à jour et activez les mises à jour automatiques
- Si possible, s’en tenir à Google Play ou à d’autres magasins d’applications réputés.
- Avant d’installer une application, vérifiez ses évaluations et les commentaires utilisateurs. Concentrez-vous sur les aspects négatifs, car ils proviennent souvent d’utilisateurs légitimes, tandis que les commentaires positifs sont souvent créés par les attaquants.
- Observez les permissions demandées par l’application. Si celles-ci semblent inadéquates par rapport à l’objet de l’application, passez votre chemin !
- Utilisez une solution de sécurité mobile réputée pour protéger votre appareil.

Pour plus d’informations, consultez notre blog We Live Security.

 

CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/na  Blog :  www.welivesecurity.com/fr