Google Android
Un nouveau ransomware pour les appareils mobiles a fait surface en ligne. Le virus numérique en mutation et en évolution cible les smartphones exécutant le système d'exploitation Android de Google. Le logiciel malveillant tente de pénétrer par le biais d'un SMS simple mais intelligemment déguisé, puis pénètre profondément dans le système interne du téléphone mobile. Outre la prise en otage critique et sensible, le nouveau ver tente agressivement de se propager à d’autres victimes via les plates-formes de communication du smartphone compromis. La nouvelle famille de ransomwares marque une étape importante mais préoccupante dans le système d'exploitation Android de Google, qui était de plus en plus considéré comme relativement à l'abri des cyber-attaques ciblées.
Les professionnels de la cybersécurité travaillant pour le célèbre développeur d'antivirus, de pare-feu et d'autres outils de protection numérique ESET ont découvert une nouvelle famille de ransomwares conçue pour attaquer le système d'exploitation mobile Android de Google. Le cheval de Troie numérique utilise la messagerie SMS pour se propager, ont noté les chercheurs. Les chercheurs d'ESET ont surnommé le nouveau malware Android / Filecoder.C, et ont observé une activité accrue de celui-ci. Incidemment, le ransomware semble être assez récent, mais il marque la fin d'une baisse de deux ans des nouvelles détections de logiciels malveillants Android. En termes simples, il semble que les pirates informatiques semblent avoir un regain d'intérêt pour le ciblage des systèmes d'exploitation des smartphones. Aujourd'hui encore, nous avons signalé plusieurs Vulnérabilités de sécurité «Zero Interaction» découvertes dans le système d'exploitation Apple iPhone iOS .
Filecoder Actif depuis juillet 2019 mais se propage rapidement et de manière agressive grâce à une ingénierie sociale intelligente
Selon la société slovaque d'antivirus et de cybersécurité, Filecoder a été observé très récemment dans la nature. Les chercheurs d'ESET affirment avoir remarqué que le ransomware s'est propagé activement depuis le 12 juillet 2019. En termes simples, le malware semble avoir fait surface il y a moins d'un mois, mais son impact pourrait augmenter chaque jour.
Le virus est particulièrement intéressant car les attaques sur le système d'exploitation Android de Google sont en baisse constante depuis environ deux ans. Cela a généré une perception générale selon laquelle Android était principalement immunisé contre les virus ou que les pirates ne s'attaquaient pas spécifiquement aux smartphones, mais ciblaient plutôt les ordinateurs de bureau ou d'autres matériels et électroniques. Les smartphones sont des appareils assez personnels et pourraient donc être considérés comme des cibles potentielles limitées par rapport aux appareils utilisés dans les entreprises et les organisations. Cibler des PC ou des appareils électroniques dans des environnements aussi volumineux présente plusieurs avantages potentiels, car une machine compromise peut offrir un moyen rapide de compromettre plusieurs autres appareils. Il s'agit ensuite d'analyser les informations pour repérer les informations sensibles. Incidemment, plusieurs groupes de piratage semblent avoir pivoté vers la conduite d'attaques d'espionnage à grande échelle .
ALERTE DE SÉCURITÉ: Android Ransomware FileCoder Strain émerge: Une nouvelle souche de ransomware a émergé sur Android #mobile dispositifs. Il cible ceux qui utilisent le système d'exploitation Android 5.1 et supérieur. Cette souche de ransomware Android a été doublée par… https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Solutions Aquia (@AquiaSolutions) 30 juillet 2019
Le nouveau ransomware, en revanche, tente simplement d'empêcher le propriétaire du smartphone Android d'accéder aux informations personnelles. Rien n'indique que le logiciel malveillant tente de divulguer ou de voler des informations personnelles ou sensibles ou d'installer d'autres charges utiles telles que des enregistreurs de frappe ou des trackers d'activité pour essayer d'accéder aux informations financières.
Comment Filecoder Ransomware se propage-t-il sur le système d'exploitation Google Android?
Les chercheurs ont découvert que le ransomware Filecoder se propage via la messagerie Android ou le système SMS, mais son point d'origine est ailleurs. Le virus semble se lancer via des publications malveillantes dans des forums en ligne, notamment Reddit et le tableau de messagerie des développeurs Android XDA Developers. Après qu'ESET ait signalé les publications malveillantes, les développeurs XDA ont pris des mesures rapides et ont supprimé les médias suspects, mais le contenu douteux était toujours en place au moment de la publication sur Reddit.
La plupart des publications et commentaires malveillants trouvés par ESET tentent d'inciter les victimes à télécharger le logiciel malveillant. Le virus attire la victime en imitant le contenu généralement associé à du matériel pornographique. Dans certains cas, les chercheurs ont également observé certains sujets techniques utilisés comme appâts. Dans la plupart des cas cependant, les attaquants ont inclus des liens ou des codes QR pointant vers les applications malveillantes.
Pour éviter une détection immédiate avant l'accès, les liens du malware sont masqués en tant que liens bit.ly. Plusieurs de ces sites de raccourcissement de liens ont été utilisés dans le passé pour diriger des internautes sans méfiance vers des sites Web malveillants, mener des hameçonnage et autres cyberattaques.
Les pirates diffusent Android Ransomware via SMS à vos contacts et crypter les fichiers de votre appareil: une nouvelle famille d'Android Ransomware baptisée Android / Filecoder.C a distribué divers forums en ligne et utilise en outre la liste de contacts de la victime pour envoyer des SMS avec un… https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Shah Sheikh (@shah_sheikh) 30 juillet 2019
Une fois que le ransomware Filecoder s'est fermement implanté dans l'appareil mobile Android de la victime, il ne commence pas immédiatement à verrouiller les informations de l'utilisateur. Au lieu de cela, le logiciel malveillant attaque d'abord les contacts du système Android. Les chercheurs ont observé un comportement intéressant mais extrêmement agressif du ransomware Filecoder. Essentiellement, le logiciel malveillant passe rapidement mais soigneusement au crible la liste de contacts de la victime pour se propager.
Le logiciel malveillant tente d'envoyer un message texte soigneusement rédigé et généré automatiquement à chaque entrée de la liste de contacts de l'appareil mobile Android. Pour augmenter les chances des victimes potentielles de cliquer et de télécharger le ransomware, le virus Filecoder déploie une astuce intéressante. Le lien contenu dans le message texte contaminé est annoncé comme une application. Plus important encore, le logiciel malveillant garantit que le message contient la photo de profil de la victime potentielle. De plus, la photo est soigneusement positionnée pour s'adapter à une application que la victime utilise déjà. En réalité, il s'agit d'une fausse application malveillante hébergeant le ransomware.
Plus inquiétant encore, le ransomware Filecoder est codé pour être multilingue. En d'autres termes, selon le paramètre de langue de l'appareil infecté, les messages peuvent être envoyés dans l'une des 42 versions linguistiques possibles. Le logiciel malveillant insère également automatiquement le nom du contact dans le message, pour renforcer l'authenticité perçue.
Comment le Filecoder Ransomware infecte-t-il et fonctionne-t-il?
Les liens que le malware a générés contiennent généralement une application qui tente d'attirer les victimes. Le véritable objectif de la fausse application est de fonctionner discrètement en arrière-plan. Cette application contient des paramètres de commande et de contrôle (C2) codés en dur, ainsi que des adresses de portefeuille Bitcoin, dans son code source. Les attaquants ont également utilisé la plate-forme populaire de partage de notes en ligne Pastebin, mais elle ne sert que de canal pour la récupération dynamique et éventuellement d'autres points d'infection.
Une fois que le ransomware Filecoder a réussi à envoyer les SMS corrompus par lots et à terminer la tâche, il analyse ensuite le périphérique infecté pour trouver tous les fichiers de stockage et en crypte la majorité. Les chercheurs d'ESET ont découvert que le logiciel malveillant crypterait tous les types d'extensions de fichiers couramment utilisés pour les fichiers texte, images, vidéos, etc. Mais pour une raison quelconque, il laisse des fichiers spécifiques à Android tels que .apk ou .dex. Le logiciel malveillant ne touche pas non plus les fichiers compressés .Zip et .RAR, ni les fichiers de plus de 50 Mo. Les chercheurs soupçonnent que les créateurs de logiciels malveillants ont peut-être fait un mauvais travail de copier-coller en supprimant le contenu de WannaCry, une forme de ransomware beaucoup plus grave et prolifique. Tous les fichiers cryptés sont ajoutés avec l'extension «.seven»
Les chercheurs découvrent Android / Filecoder.C, une nouvelle famille de ransomwares Android qui tente de se propager aux contacts des victimes et déploie des astuces inhabituelles https://t.co/5iCvkVbAND @welivesecurity @CAS #ransomware #Android pic.twitter.com/d150eY4N7X
- David Bisson (@DMBisson) 30 juillet 2019
Après avoir chiffré avec succès les fichiers sur l'appareil mobile Android, le ransomware fait clignoter une note de rançon typique contenant des demandes. Les chercheurs ont remarqué que le ransomware Filecoder fait des demandes allant d'environ 98 $ à 188 $ en crypto-monnaie. Pour créer un sentiment d'urgence, le malware dispose également d'un simple minuteur qui dure environ 3 jours ou 72 heures. La note de rançon mentionne également le nombre de fichiers qu'elle détient en otage.
Fait intéressant, les ransomwares ne verrouillent pas l'écran de l'appareil et n'empêchent pas l'utilisation d'un smartphone. En d'autres termes, les victimes peuvent toujours utiliser leur smartphone Android, mais n'auront pas accès à leurs données. De plus, même si les victimes désinstallent d'une manière ou d'une autre l'application malveillante ou suspectée, cela n'annule pas les modifications et ne décrypte pas les fichiers. Filecoder génère une paire de clés publique et privée lors du chiffrement du contenu d'un appareil. La clé publique est chiffrée avec un puissant algorithme RSA-1024 et une valeur codée en dur qui est envoyée aux créateurs. Une fois que la victime a payé les détails Bitcoin fournis, l'attaquant peut déchiffrer la clé privée et la remettre à la victime.
Filecoder non seulement agressif mais aussi complexe pour s'évader:
Les chercheurs d'ESET avaient précédemment signalé que la valeur de la clé codée en dur pouvait être utilisée pour déchiffrer des fichiers sans payer les frais de chantage en «changeant l'algorithme de chiffrement en un algorithme de déchiffrement». En bref, les chercheurs ont estimé que les créateurs du ransomware Filecoder avaient par inadvertance laissé derrière eux une méthode assez simple pour créer un décrypteur.
«En raison du ciblage étroit et des failles à la fois dans l'exécution de la campagne et dans la mise en œuvre de son cryptage, l'impact de ce nouveau ransomware est limité. Cependant, si les développeurs corrigent les failles et que les opérateurs commencent à cibler des groupes d'utilisateurs plus larges, le ransomware Android / Filecoder.C pourrait devenir une menace sérieuse. '
le les chercheurs ont mis à jour leur article sur le ransomware Filecoder et a précisé que 'cette' clé codée en dur 'est une clé publique RSA-1024, qui ne peut pas être facilement cassée, d'où la création d'un décrypteur pour ce ransomware particulier est presque impossible.'
Étrangement, les chercheurs ont également observé qu'il n'y avait rien dans le code du ransomware pour soutenir l'affirmation selon laquelle les données affectées seraient perdues après la fin du compte à rebours. De plus, les créateurs du malware semblent jouer avec le montant de la rançon. Alors que le Bitcoin ou BTC 0.01 reste standard, les chiffres suivants semblent être l'ID utilisateur généré par le malware. Les chercheurs soupçonnent que cette méthode pourrait servir de facteur d'authentification pour faire correspondre les paiements entrants avec la victime pour générer et envoyer la clé de déchiffrement.
Mots clés Android
