+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 121
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 121
    Points : 70 778
    Points
    70 778

    Par défaut Des chercheurs découvrent le ransomware DoubleLocker sur Android qui change le code PIN de l'utilisateur

    Des chercheurs découvrent le ransomware DoubleLocker sur Android qui change le code PIN de l'utilisateur
    et verrouille ses fichiers

    Baptisé par les chercheurs en sécurité d’ESET du nom de Android/DoubleLocker.A, le ransomware s’appuie sur le code d’un cheval de Troie bancaire particulier, connu pour avoir abusé des services d'accessibilité du système d'exploitation Android. Cependant, DoubleLocker ne dispose pas des fonctions liées à la collecte des informations bancaires des utilisateurs et à l'effacement de leurs comptes. Au lieu de cela, il a reçu deux outils puissants pour extorquer de l'argent à ses victimes.

    DoubleLocker peut modifier le code PIN de l'appareil, afin d’empêcher les victimes d'accéder à leurs appareils, mais aussi chiffrer les données qu'il y trouve, une combinaison qui n'a jamais été vue auparavant dans l'écosystème Android.

    Le chercheur Lukáš Štefanko à l’origine de la découverte de DoubleLocker a expliqué « Qu’à cause du fait qu’il trouve son origine dans un malware bancaire, DoubleLocker pourrait très bien être modifié pour devenir ce que l’on pourrait appeler un malware bancaire-rançon. Un malware à deux niveaux, qui essaie d’abord de voler vos données bancaires et/ou vider votre compte ou compte PayPal, puis de bloquer votre appareil et ses données afin d’exiger une rançon… Toute spéculation mise de côté, nous avons détecté la version test d’un tel malware dans la nature pratiquement en même temps, en mai 2017. »

    DoubleLocker se propage essentiellement de la même manière que son parent le malware bancaire. Il est distribué principalement comme un faux plugin Adobe Flash Player via des sites Web compromis.

    Une fois lancée, l'application demande l'activation du service d'accessibilité du logiciel malveillant, nommé « Service Google Play ». Une fois que le logiciel malveillant a obtenu les autorisations d'accessibilité, il les utilise pour activer les droits d'administrateur du périphérique et se définir comme l'application d'accueil par défaut, dans les deux cas sans le consentement de l'utilisateur.

    « Se définir comme une application par défaut – un lanceur – est une astuce qui améliore la persistance du malware. Chaque fois que l'utilisateur clique sur le bouton d'accueil, le ransomware est activé et l'appareil est à nouveau verrouillé. Grâce à l'utilisation du service d'accessibilité, l'utilisateur ne sait pas qu'il lance des logiciels malveillants en appuyant sur Home », explique Štefanko.


    Une fois exécuté sur l’appareil, DoubleLocker donne deux raisons aux victimes de payer :
    • tout d’abord, il modifie le code PIN de l'appareil, empêchant ainsi la victime de l'utiliser. Le nouveau code PIN est défini sur une valeur aléatoire que l'attaquant ne stocke ni n'émet nulle part, il est donc impossible pour l'utilisateur ou un expert en sécurité de le récupérer. Une fois la rançon payée, l'attaquant peut réinitialiser le code PIN à distance et déverrouiller l'appareil ;
    • ensuite, DoubleLocker chiffre tous les fichiers du répertoire de stockage principal du périphérique. Il utilise l'algorithme de chiffrement AES-256, en ajoutant l'extension ".cryeye". « Le chiffrement est implémenté correctement, ce qui signifie que, malheureusement, il n'y a aucun moyen de récupérer les fichiers sans recevoir la clé de cryptage des attaquants », explique Štefanko.

    La rançon a été fixée à 0,0130 BTC (environ 63 euros au moment de la rédaction de ces lignes) et le message souligne que la rançon doit être payée dans les 24 heures. Dans le cas contraire, les données restent chiffrées, mais ne sont pas supprimées. Bien entendu, les utilisateurs sont encouragés à ne pas payer la rançon. Dans ce cas, pour se débarrasser du logiciel, il ne reste plus qu'à réinitialiser le téléphone dans ses paramètres d'usine et de tout supprimer.

    Source : ESET
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Candidat au Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    octobre 2017
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : octobre 2017
    Messages : 2
    Points : 3
    Points
    3

    Par défaut

    Moi qui pensais naïvement que les ransomware étaient de l'histoire ancienne après l'histoire de Wannacry... >.<

Discussions similaires

  1. Réponses: 0
    Dernier message: 08/07/2017, 07h44
  2. Réponses: 4
    Dernier message: 05/08/2016, 16h22
  3. Réponses: 4
    Dernier message: 22/10/2015, 11h53
  4. Réponses: 0
    Dernier message: 05/02/2014, 19h10
  5. Réponses: 36
    Dernier message: 01/04/2010, 09h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo