Android : un ransomware trompeur arrive à échapper aux antivirus
Bon baisers de Russie
Des chercheurs en sécurité ont trouvé un ransomware pour Android, capable d’éviter la détection par les antivirus. Il n’est dans l’absolu pas considéré comme très dangereux mais, comme certains malwares actuels, pourrait représenter une tendance.
L’histoire des malwares n’est pas nouvelle. Si l’on en croit un rapport publié en février par Eset (éditeur notamment de NOD32), le nombre d’attaques par ce vecteur a augmenté de 50 % en 2016 sur la plateforme de Google. Une conjonction de facteurs en est responsable, mais l’utilisation des boutiques tierces et les méthodes visant à tromper l’utilisateur sont clairement les plus présentes.
Des évolutions que l’on retrouve dans un nouveau ransomware découvert par la société ZScaler. Rappelons – s’il est encore besoin de le faire – qu'il s'agit d'un logiciel malveillant dont l’objectif est de chiffrer les données de l’utilisateur puis de lui réclamer une rançon. Il peut payer et avoir une chance de les retrouver, ou refuser et faire avec les conséquences. Les sauvegardes régulières et une bonne hygiène informatique sont les deux seules armes vraiment efficaces contre ce type de menace.
Un compte à rebours de quatre heures
Le nouveau venu ne porte pas encore de nom et se distingue de plusieurs manières. Ses concepteurs l’introduisent dans des applications très utilisées qui sont récupérées, désassemblées, modifiées et empaquetées, avant d’être envoyées dans une ou plusieurs boutiques tierces. Attiré, l’utilisateur la télécharge et l’installe. Rien ne permet en fait jusqu’ici de la distinguer de l’application d’où elle provient. La somme de contrôle (checksum) n’est plus la même, mais les utilisateurs ne contrôlent que très rarement ce type d’information.
Dans un premier temps, le ransomware ne fait en effet absolument rien. Il reste sagement tranquille pendant les quatre premières heures. L’application fonctionne normalement et l’exécution des barrières de sécurité, comme celles de Google et des antivirus, n’y voient que du feu. Une fois le délai écoulé, la fausse application se met à réclamer en boucle des droits administrateurs : changement de code de déverrouillage, surveillance des tentatives de déverrouillage, verrouillage de l’écran, ajout d’une expiration sur le code, etc.
Pour une poignée de roubles
À ce stade, l’utilisateur a de bonnes chances de se douter que quelque chose cloche dans son appareil. Mais annuler la demande ne fait que la répéter en boucle. Selon ZScaler, il y a des chances que la victime finisse par accepter pour retrouver l’usage de son téléphone. Mais cette acceptation déclenche immédiatement les hostilités : chiffrement des données, réclamation d’une rançon et panneau d’explications.
Dans ces dernières, les pirates – qui s’expriment exclusivement en russe – réclament 500 roubles, soit environ 8,3 euros. Une somme faible qui doit inciter évidemment les utilisateurs à payer. Ils sont invités à se rendre sur le premier terminal de paiement Qiwi Wallet qu’ils trouveront pour le configurer via un numéro de téléphone et un code.
Totalement trompeur et néfaste
Tout est fait pour que l’utilisateur paye rapidement, pressé de retrouver ses données. Le ransomware n’est cependant que tromperie. Par exemple, les explications indiquent que la victime a 12 heures pour payer, sans quoi il expédiera à l’ensemble des contacts un message leur expliquant qu’elle aime à regarder des contenus pornographiques illégaux. En l’état selon ZScaler, on ne sait pas vraiment si les pirates sont en capacité de mettre menace à exécution.
D’autre part, peu importe la vitesse à laquelle l’utilisateur paiera : le ransomware n’est équipé d’aucune fonction de déchiffrement. Aucun code ne sera envoyé et les données doivent être considérées comme perdues si elles n’existent pas ailleurs. À ce stade, la seule procédure efficace semble être de redémarrer l’appareil en mode sans échec, Google disposant d’une fiche de support à ce sujet. De là, il pourra supprimer normalement l’application récalcitrante, après lui avoir retiré ses droits administrateurs.
Des techniques marquant une évolution dans les tendances
Pour les chercheurs de ZScaler, le ransomware est surtout intéressant pour la somme des techniques qu’il embarque et qui représente une certaine forme de synthèse.
Le code injecté est ainsi décrit comme « largement obscurci », ce qui rend sa lecture difficile. Toutes les communications entre le malware et son serveur de contrôle sont par ailleurs chiffrées via AES. Par ailleurs, tous les noms de classes, de méthodes et de variables sont trafiqués « de manière à ce qu’il soit extrêmement difficile de comprendre le code ». Une majorité de méthodes sont en outre invoquées par réflexion Java, leur permettant d’éviter la détection par analyse statique.
Mais puisque la plupart des antivirus rassemblent des analyses statiques et dynamiques, on retrouve ici le délai de quatre heures mentionné plus haut. Le logiciel de protection exécute un échantillon de l’application visée et détermine si elle est nocive ou pas. Dans le cas présent, puisque le ransomware est inactif, aucune fonctionnalité néfaste n’est détectée. ZScaler estime même qu’un tel rassemblement de techniques pourrait permettre aux pirates de proposer leurs applications vérolées directement sur le Play Store.
Il y a quelques jours, Google a d’ailleurs indiqué que ce type de menace restait possible, puisque le risque zéro n’existe pas. L’éditeur d’Android a cependant indiqué que le risque était décuplé dès lors que l’on sortait du Play Store : 0,00001 % sur la boutique officielle, contre 0,01 % sur les tierces. Google note à ce propos qu’en dépit des attaques croissantes par malwares, elles restent rares, toutes proportions gardées.
Commentaires (23)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/04/2017 à 14h23
Bon baisers baisé de Russie…
" />
Le 03/04/2017 à 14h28
Vivement que le chiffrement soit interdit, qu’on soit enfin débarrassé de ces virus 
" />
(oui, je n’étais pas là vendredi)
Le 03/04/2017 à 14h40
“La somme de contrôle (checksum) n’est plus la même, mais les utilisateurs ne contrôlent que très rarement ce type d’information.”
Anéfé, et j’en fait hélas partie.
Mais cela vient surtout du fait que je dl depuis les sources officielles, pas des miroirs. Difficile alors de prendre cette habitude.
Le 03/04/2017 à 14h41
pas de récupération des données…
">
c’est un virus belge programmé par les chinois de la CIA ?
Ecrit en russe et obfusqué, c’est du Marble.
Le 03/04/2017 à 14h43
Le 03/04/2017 à 15h05
En même temps, qui a des données important qui est que sur android?
Le 03/04/2017 à 15h07
Beaucoup de personnes ont leur appli bancaire dessus.
Le 03/04/2017 à 15h19
je pense que ce qu’il dit c’est que personne n’a de données réellement importantes uniquement sur son tel ou sa tablette, donc sensibles à l’action d’un ransomware.
et j’aurai tendance à être d’accord avec ça. le seul truc qui me ferait chier c’est les photos. ^^
Le 03/04/2017 à 15h22
Je vois, dans ce cas, j’avoue.
Le 03/04/2017 à 15h31
Moi si une app me demande les droits administrateur j’ai plutôt tendance à faire “non” puis “désinstaller”
" />
Le 03/04/2017 à 15h39
ouais mais là à priori l’appli te les brise en te redemandant jusqu’à ce que tu clique sur oui.
" />
Le 03/04/2017 à 15h42
Oui, bah tu rames pour atteindre le menu qui va bien c’est tout
" />
Mais céder pour avoir la paix est idiot.
Le 03/04/2017 à 15h57
quand t’es pas un peu techos et que tu veux récupérer ton téléphone qui marche, tu finis par faire la connerie qu’ils attendent.
même pas sur que le péquin moyen pense à rebooter le terminal. ^^
Le 03/04/2017 à 17h28
En même temps, ça vient de plateformes tierces aussi…
C’est pas faute de le lire ou l’entendre partout…
Je blâme pas, j’ai eu ma période sur PC, mais bon… tu sais que quand tu chopes un truc (payant, de surcroît) gratos ailleurs que sur le PlayStore, t’as un gros risque de te retrouver avec ce que tu n’as pas demandé.
Le 03/04/2017 à 18h11
la victime a 12 heures pour payer, sans quoi il expédiera à l’ensemble des contacts un message leur expliquant qu’elle aime à regarder des contenus pornographiques illégaux
Si mes contacts “amis” recevaient ce message, j’aurais surement des “+1”, des “j’aime”, des “lol mdr” et des notifications perso pour me demander les liens…
Pour les contacts “pro” et “famille”, je pense qu’ils comprendraient vite que c’est un malware.
Bref…
Le 03/04/2017 à 19h15
Le 03/04/2017 à 21h06
L’article va un peu vite en raccourcis non ?
sur la plateforme de Google … L’éditeur d’Android
C’est un peu comme si on disait la plateforme de Canonical pour Linux.
Et côté app la responsabilité de Google est surtout sur playstore + patch de sécurité.
Je trouvais que ça faisait article à charge (un peu) ou c’est moi qui est mal compris le ton ?
(Et quand je me relis j’ai l’impression de faire pareil 😂)
Le 03/04/2017 à 21h45
Je savais pas que DSK était écolo…
" />
Le 04/04/2017 à 06h46
Le 04/04/2017 à 07h25
Sont bien cons, si aux moins le truc était en anglais ils pourraient toucher plus de monde, là les gens vont rien comprendre
" />
" /> C’est quoi la concurrence sur ce créneau, la MASTERCARD Pamplemousse ?
C’est quoi VISA QIWI au fait ? Ça fait pas très sérieux comme moyen de paiement
Le 04/04/2017 à 08h34
tu vient de faire ma journée :)
Le 04/04/2017 à 15h28
Le 04/04/2017 à 18h05