Des chercheurs découvrent le ransomware DoubleLocker sur Android qui change le code PIN de l'utilisateur
Des chercheurs découvrent le ransomware DoubleLocker sur Android qui change le code PIN de l'utilisateur
et verrouille ses fichiers
Baptisé par les chercheurs en sécurité d’ESET du nom de Android/DoubleLocker.A, le ransomware s’appuie sur le code d’un cheval de Troie bancaire particulier, connu pour avoir abusé des services d'accessibilité du système d'exploitation Android. Cependant, DoubleLocker ne dispose pas des fonctions liées à la collecte des informations bancaires des utilisateurs et à l'effacement de leurs comptes. Au lieu de cela, il a reçu deux outils puissants pour extorquer de l'argent à ses victimes.
DoubleLocker peut modifier le code PIN de l'appareil, afin d’empêcher les victimes d'accéder à leurs appareils, mais aussi chiffrer les données qu'il y trouve, une combinaison qui n'a jamais été vue auparavant dans l'écosystème Android.
Le chercheur Lukáš Štefanko à l’origine de la découverte de DoubleLocker a expliqué « Qu’à cause du fait qu’il trouve son origine dans un malware bancaire, DoubleLocker pourrait très bien être modifié pour devenir ce que l’on pourrait appeler un malware bancaire-rançon. Un malware à deux niveaux, qui essaie d’abord de voler vos données bancaires et/ou vider votre compte ou compte PayPal, puis de bloquer votre appareil et ses données afin d’exiger une rançon… Toute spéculation mise de côté, nous avons détecté la version test d’un tel malware dans la nature pratiquement en même temps, en mai 2017. »
DoubleLocker se propage essentiellement de la même manière que son parent le malware bancaire. Il est distribué principalement comme un faux plugin Adobe Flash Player via des sites Web compromis.
Une fois lancée, l'application demande l'activation du service d'accessibilité du logiciel malveillant, nommé « Service Google Play ». Une fois que le logiciel malveillant a obtenu les autorisations d'accessibilité, il les utilise pour activer les droits d'administrateur du périphérique et se définir comme l'application d'accueil par défaut, dans les deux cas sans le consentement de l'utilisateur.
« Se définir comme une application par défaut – un lanceur – est une astuce qui améliore la persistance du malware. Chaque fois que l'utilisateur clique sur le bouton d'accueil, le ransomware est activé et l'appareil est à nouveau verrouillé. Grâce à l'utilisation du service d'accessibilité, l'utilisateur ne sait pas qu'il lance des logiciels malveillants en appuyant sur Home », explique Štefanko.
Une fois exécuté sur l’appareil, DoubleLocker donne deux raisons aux victimes de payer :
- tout d’abord, il modifie le code PIN de l'appareil, empêchant ainsi la victime de l'utiliser. Le nouveau code PIN est défini sur une valeur aléatoire que l'attaquant ne stocke ni n'émet nulle part, il est donc impossible pour l'utilisateur ou un expert en sécurité de le récupérer. Une fois la rançon payée, l'attaquant peut réinitialiser le code PIN à distance et déverrouiller l'appareil ;
- ensuite, DoubleLocker chiffre tous les fichiers du répertoire de stockage principal du périphérique. Il utilise l'algorithme de chiffrement AES-256, en ajoutant l'extension ".cryeye". « Le chiffrement est implémenté correctement, ce qui signifie que, malheureusement, il n'y a aucun moyen de récupérer les fichiers sans recevoir la clé de cryptage des attaquants », explique Štefanko.
La rançon a été fixée à 0,0130 BTC (environ 63 euros au moment de la rédaction de ces lignes) et le message souligne que la rançon doit être payée dans les 24 heures. Dans le cas contraire, les données restent chiffrées, mais ne sont pas supprimées. Bien entendu, les utilisateurs sont encouragés à ne pas payer la rançon. Dans ce cas, pour se débarrasser du logiciel, il ne reste plus qu'à réinitialiser le téléphone dans ses paramètres d'usine et de tout supprimer.
Source : ESET
Répondre avec citation
Partager