ESET identifie un nouveau type de ransomware impactant les smartphones Android

Les équipes de recherche d’ESET ont découvert une nouvelle famille de ransomwares qui utilise la liste des contacts d’un smartphone pour diffuser des SMS contenant des liens malveillants. Ce nouveau ransomware, appelé Android/Filecoder.C a été diffusé via le forum Reddit et, pendant une courte durée, sur le forum « XDA Developers ».

Android/Filecoder.C a retenu l’attention des chercheurs de l’ESET à cause de son mécanisme de diffusion unique. Avant qu’il ne commence à chiffrer les fichiers, le ransomware envoie des messages SMS à tous les contacts de la victime. Ces messages contiennent des liens malveillants permettant d’installer le ransomware.

Cependant Android/Filecoder.C présente des limites concernant le mécanisme de chiffrement. Le ransomware exclus tous les fichiers supérieurs à 50 Mo, ainsi que les fichiers d’images inférieurs à 150ko. Sa liste de « fichiers types à chiffrer » contient plusieurs entrées qui n’ont aucun lien avec Android. Aussi, il ne prend pas en compte de nombreuses extensions typiques à Android (.apk, .dex, .so).

Les chercheurs pensent que cette liste provient directement du ransomware WannaCry.

Contrairement aux ransomwares spécifiques à Android, Android/Filecoder.C ne bloque pas l’utilisation de la machine. De plus, il n’y a pas de demande de rançon développée en « dur ». Le montant de la rançon demandé par l’attaquant est créé dynamiquement par le ransomware en générant un UserID assigné spécialement pour la victime. Le montant de la rançon peut donc varier entre 0.01 BTC et 0.02 BTC selon la victime.

ESET considère donc que le ransomware a été mal conçu, en particulier concernant l’implémentation du chiffrement. Tous les fichiers chiffrés peuvent être restaurés en suivant les recommandations du lien suivant : https://www.welivesecurity.com/2019/07/29/android-ransomware-back/

Cependant, si ces défauts sont corrigés, ce nouveau ransomware pourrait devenir une menace sérieuse.

Informations
+

Risques :

  • Chiffrement de données.

Criticité :

  • Aucun score n’a été diffusé.

Existence d’un code d’exploitation de la vulnérabilité :

  • N/A

Composants & versions vulnérables :

  • Android 5.1 et supérieur.

CVE :

  • N/A

Recommandations
+

Pour éviter d’être victime de ce ransomware, ESET recommande de

  • Garder ses appareils à jour ;
  • Installer des applications venant uniquement du Play Store ;
  • Vérifier les commentaires et avis avant d’installer une application ;
  • Faire attention aux permissions demandées par une application ;
  • Installer une solution antivirus pour mobile pour protéger votre appareil.

Pour plus de recommandations, vous pouvez vous référer à notre fiche réflexe cryptovirus.