Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Les chercheurs d’ESET ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.
Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; mais ici, après avoir été alertés par ESET, les opérateurs ont retiré les messages malveillants.
« La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon », commente Lukáš Štefanko, le chercheur ESET qui a mené l’enquête. « Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse ».
Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », poursuit Lukáš Štefanko.
Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.
Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.
Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.
Selon le chercheur, les utilisateurs dont les appareils sont protégés par ESET Mobile Security ne sont pas concernés par cette menace. « Ils reçoivent un avertissement en recevant le lien malveillant ; s’ils l’ignorent et téléchargent l’application malgré tout, la solution de sécurité le bloquera ».
Pour rester en sécurité avec leurs appareils Android, les utilisateurs doivent s’en tenir aux principes de sécurité de base :
- Maintenez vos appareils à jour et activez les mises à jour automatiques
- Si possible, s’en tenir à Google Play ou à d’autres magasins d’applications réputés.
- Avant d’installer une application, vérifiez ses évaluations et les commentaires utilisateurs. Concentrez-vous sur les aspects négatifs, car ils proviennent souvent d’utilisateurs légitimes, tandis que les commentaires positifs sont souvent créés par les attaquants.
- Observez les permissions demandées par l’application. Si celles-ci semblent inadéquates par rapport à l’objet de l’application, passez votre chemin !
- Utilisez une solution de sécurité mobile réputée pour protéger votre appareil.
Pour plus d’informations, consultez notre blog We Live Security.
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr