Alors que le ransomware Android est en baisse depuis 2017, les chercheurs d'ESET ont découvert une nouvelle famille de ransomware qui utilise les listes de contacts des victimes pour se diffuser davantage via des SMS contenant des liens malveillants.
Le nouveau logiciel ransomware, appelé Android / Filecoder.C, a été distribué sur Reddit sur des sujets relatifs au contenu pour adultes, ainsi que pendant un court laps de temps via le forum «XDA developers».
Le chercheur ESET qui a mené l'enquête, Lukáš Štefanko, a donné des informations supplémentaires sur la campagne de ransomware découverte par la société, en déclarant:
«La campagne que nous avons découverte est petite et plutôt amateur. En outre, le ransomware lui-même est défectueux, notamment en ce qui concerne le cryptage mal implémenté. Tous les fichiers cryptés peuvent être récupérés sans l'aide des attaquants. Cependant, si les développeurs corrigent les failles et que la distribution devenait plus avancée, ce nouveau ransomware pourrait devenir une menace sérieuse. "
Sommaire
Android / Filecoder.C
Android / Filecoder.C a attiré l'attention des chercheurs d'ESET en raison de son mécanisme de diffusion unique. Avant de commencer à chiffrer les fichiers, le ransomware envoie un lot de messages texte à chaque adresse de la liste de contacts de la victime contenant un lien illicite vers le fichier d'installation du ransomware.
En plus de son mécanisme de propagation non traditionnel, Android / Filecoder.C contient quelques anomalies dans son cryptage. Le logiciel de ransomware exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko). La liste des «types de fichiers à chiffrer» contient également de nombreuses entrées non liées à Android, ainsi que certaines des extensions typiques d'Android qui, selon Štefanko, résultent directement de la copie de la liste du réputé WannaCry ransomware.
Contrairement aux ransomwares Android classiques, Android / Filecoder.C n’empêche pas les utilisateurs d’accéder à leurs appareils en verrouillant l’écran. De plus, la rançon n'est pas définie en tant que valeur codée en dur. Le montant demandé par les attaquants est créé de manière dynamique à l'aide de l'ID utilisateur attribué par le logiciel de rançonnement à la victime. Ce processus aboutit à un montant de rançon unique pour chaque victime, compris entre 0,01 et 0,02 BTC.
Pour éviter de devenir victime d'un ransomware, ESET vous recommande de maintenir vos appareils à jour, de ne télécharger que les applications de Google Play ou d'autres magasins d'applications de bonne réputation, de vérifier les classements et les commentaires des applications avant leur installation, de prêter une attention particulière aux autorisations demandées par une application. et utilisez une solution de sécurité mobile pour protéger votre appareil.