Début juillet, une nouvelle famille de ransomware a fait son apparition sur plusieurs plateformes du Web. Ce malware permet au pirate de faire payer au propriétaire de l’appareil une somme d’argent sans laquelle tous ses fichiers seront perdus. Il a été identifié par les chercheurs de la cybersécurité EST et répond au doux nom d’Android/Filecoder.C.
les plateformes CÉLÈBRES CIBLÉES
Le ransomware est apparu pour la première fois aux alentours du 12 juillet, selon les chercheurs de la EST. On peut facilement se faire piéger sur les plateformes Reddit et sur XDA Developer, un très célèbre forum pour développeurs. Des fils Reddit et des publications diverses incitent les potentielles victimes à télécharger le fichier. Celui-ci se fait passer pour une application à caractère pornographique. Elle affiche usuellement des éléments à caractère sexuel comme une simulation de sexe. Mais le vrai danger se trouve en arrière-plan. Dès qu’elle est installée sur l’appareil, l’application malveillante commence par s’intéresser à la liste des contacts afin de leur envoyer par SMS un lien pour télécharger le ransomware à leur tour.
un RANÇONNAGE classique
La nouvelle victime reçoit un SMS pour télécharger le ransomware sous couvert de support pornographique. C’est la seule particularité de ce malware, car les chercheurs soupçonnent que le dispositif de chiffrement des fichiers n’est qu’un copier-coller de celui de WannaCry, un autre malware, mais nettement plus dangereux.
En fonction des paramètres de l’appareil source, le SMS peut être envoyé dans 42 langues différentes. Une fois le fichier téléchargé, l’utilisateur doit l’installer manuellement. Il demande des autorisations comme l’accès aux photos, toutefois, le ransomware s’intéresse réellement aux contacts. Les SMS de propagation sont alors envoyés. En arrière-plan également, le ransomware commence la recherche de tous les fichiers pour pouvoir effectuer le chiffrement de la plupart d’entre eux. Seuls les fichiers spécifiques à Android sont épargnés. Il s’agit, entre autres, des fichiers .apk et .dex. La rançon s’affiche alors, accompagnée du classique compte à rebours. Elle peut varier de 98 à 188 dollars. Elle est évidemment demandée en cryptomonnaie, notamment en bitcoin. Néanmoins, il n’a pas encore été confirmé que les fichiers étaient perdus après le décompte.
Faibles DÉGÂTS
Les chercheurs de chez EST estiment que le ransomware, contrairement à beaucoup d’autres avant lui, présente des failles importantes. C’est le cas, notamment, du chiffrement des fichiers. Lors de l’opération, Filecoder génère des clés. Lorsque la victime paie sa rançon, l’attaquant lui délivre une clé. Les chercheurs estiment cependant qu’il est aisément possible de détourner le chiffrement, rien qu’en utilisant l’ID utilisateur fourni lors de la note de rançon, et ainsi déchiffrer ses fichiers. De plus, le ransomware n’interdit pas à sa victime l’usage de son Smartphone, car celui-ci n’est pas verrouillé.
Les chercheurs pointent également du doigt la méthode de ciblage par SMS qui réduit considérablement le nombre d’infections. L’action d’Android/Filecoder est donc très limitée, si les failles du chiffrement sont résolues. Conjugué avec une méthode de ciblage plus vaste, ce malware pourrait constituer une importante menace.
