Une nouvelle famille de ransomwares conçues pour attaquer le système d’exploitation mobile Android de Google utilise la messagerie SMS pour se répandre, ont annoncé des chercheurs.
Lundi, des professionnels de la cybersécurité d’ESET ont dévoilé leur enquête sur le nouveau malware appelé Android / Filecoder.C. Cette découverte marque la fin d’un déclin de deux ans des détections de nouveaux malware Android.
Les malwares mobiles ont la cote
Filecoder est actif depuis au moins le 12 juillet 2019 et se propage par le biais de messages malveillants sur des forums en ligne, notamment Reddit et le messageboard pour développeurs Android, XDA Developers.
La majorité des publications et des commentaires malveillants découverts par ESET tentent d’inciter les victimes à télécharger le logiciel malveillant en le faisant passer pour du matériel pornographique et en masquant les domaines avec des liens bit.ly.
Une fois installé sur un appareil mobile Android, Filecoder pille la liste de contacts de la victime et envoie des SMS à tous les contacts. Le lien est présenté comme une application utilisant apparemment les photos du contact, alors qu’en réalité, il s’agit d’une application malveillante hébergeant le logiciel ransomware.
En fonction du paramètre de langue du périphérique infecté, les messages sont envoyés dans l’une des 42 langues possibles. Le nom du contact est également inclus automatiquement dans le message.
L’utilisateur clique sur le lien et que l’application malveillante est installée manuellement, elle affiche souvent des éléments tels qu’un simulateur de sexe. Cependant, le véritable objet de l’application fonctionne en arrière-plan.
L’application contient des paramètres de serveur de commande et de contrôle (C2) codés en dur, ainsi que des adresses de portefeuille Bitcoin, dans son code source. Pastebin est utilisé par les attaquants comme moyen de récupération dynamique.
Une fois les messages de propagation envoyés, Filecoder analyse ensuite le périphérique infecté pour rechercher tous les fichiers de stockage et chiffrera la majorité d’entre eux. Filecoder chiffrera les fichiers de type texte et les images, sans toucher aux fichiers spécifiques à Android tels que .apk ou .dex.
ESET estime que la liste de chiffrement n’est rien d’autre qu’un travail de copier-coller de WannaCry, une forme de ransomware bien plus sévère et plus prolifique.
Une note de rançon est affichée, avec des demandes allant d’environ 98 à 188 dollars en cryptomonnaie. Il n’y a aucune preuve que des fichiers sont effectivement perdus après la fin du compte à rebours affiché.
Le logiciel malveillant ne verrouille pas l’écran de l’appareil et n’empêche pas l’utilisation du smartphone, mais si une victime supprime l’application, les fichiers ne seront pas déchiffrés par le virus. Mais en raison d’un « chiffrement défectueux », les chercheurs estiment qu’il est toujours possible de récupérer des fichiers sans payer.
Failles de chiffrement
Filecoder génère une paire de clés publique et privée lors du chiffrement du contenu d’un périphérique. La clé privée est chiffrée avec un algorithme RSA et une valeur codée en dur qui est envoyée à l’opérateur C2. Par conséquent, si une victime paie, l’attaquant peut déchiffrer la clé privée et la communiquer à la victime.
Cependant, les chercheurs disent que la valeur de la clé codée en dur peut être utilisée pour déchiffrer des fichiers sans payer les frais de chantage en « modifiant l’algorithme de chiffrement en un algorithme de déchiffrement », et que vous avez uniquement besoin de l’ID utilisateur fourni par le ransomware à la victime dans la note de la rançon.
« En raison du ciblage étroit et de failles dans l’exécution de la campagne et dans la mise en œuvre de son chiffrement, l’impact de ce nouveau logiciel ransomware est limité », déclare ESET. « Cependant, si ses développeurs corrigent les failles et si les opérateurs commençaient à cibler des groupes d’utilisateurs plus vastes, le ransomware Android / Filecoder.C pourrait devenir une menace sérieuse. »
