IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs ont trouvé un ransomware caché dans une application Android
Et disponible sur le Google Play Store

Le , par Stéphane le calme

148PARTAGES

6  0 
D’après des chercheurs en sécurité de Check Point Software, la plateforme de téléchargements Android Play a été utilisée par des malfaiteurs pour héberger un ransomware. Baptisé Charger, le logiciel malveillant était caché derrière l’application EnergyRescue. À l’installation de cette dernière, le logiciel se charge de subtiliser les contacts ainsi que les messages SMS de l’appareil infecté et demande par la suite des autorisations d'administration. Si elles lui sont accordées, le ransomware verrouille le périphérique et affiche un message exigeant le paiement:

« Vous devez nous payer, sinon nous allons vendre une partie de vos informations personnelles sur le marché noir toutes les 30 minutes. NOUS DONNONS 100% DE GARANTIE QUE TOUS LES FICHIERS SERONT RESTAURÉS APRÈS RÉCEPTION DU PAIEMENT. NOUS ALLONS DÉBLOQUER LE DISPOSITIF MOBILE ET ALLONS SUPPRIMER TOUTES VOS DONNÉES DE NOS SERVEURS ! ÉTEINDRE VOTRE TÉLÉPHONE NE SERT À RIEN, TOUTES VOS DONNÉES SONT DÉJÀ ENREGISTRÉES SUR NOS SERVEURS ! NOUS POUVONS TOUJOURS LES VENDRE POUR DES SPAMS, DES IMPOSTURES, DES CRIMES BANCAIRES, etc ... Nous collectons et téléchargeons toutes vos données personnelles : toutes les informations sur vos réseaux sociaux, comptes bancaires, cartes de crédit. Nous recueillons toutes les données concernant vos amis et votre famille ».

Le logiciel demande 0,2 BTC en guise de rançon (166,96 EUR au moment de la rédaction de ces lignes), un montant bien plus élevé que ce que Check Point a pu observer jusqu’ici. L’entreprise a rappelé par exemple que le ransomware DataLust demandait 15 dollars.

Selon les chercheurs de Check Point, l'application a été disponible sur Google Play pendant quatre jours et n'avait qu'une poignée de téléchargements : « nous pensons que les attaquants voulaient seulement lancer des tests et n’envisageaient pas encore une propagation ». Ils en ont informé Google qui a vite fait de retirer l’application de sa vitrine de téléchargement en ne manquant pas de les remercier.


Une analyse a montré que l’application vérifie les paramètres locaux du périphérique infecté et ne lance pas Charger si le périphérique est situé en Ukraine, en Russie ou en Biélorussie. Une restriction volontaire que les chercheurs ont attribuée à une tentative d’empêcher les développeurs de faire face à des actions en justice dans ces pays.

Ils ont également noté que la plupart des logiciels malveillants trouvés sur Google Play contiennent uniquement un déclencheur qui télécharge ultérieurement les composants malveillants réels sur le périphérique. Pourtant, Charger va se servir d’une approche d’empaquetage lourd, ce qui rend la tâche plus difficile au malware s’il doit rester caché ; il doit donc compenser ce défaut. « Les développeurs de Charger lui ont donné tout ce qu'ils avaient pour renforcer ses capacités d'évasion et donc il pourrait rester caché sur Google Play aussi longtemps que possible ».
Le malware utilise plusieurs techniques avancées pour cacher ses intentions réelles et se rendre plus difficile à détecter.
  • il encode des chaînes dans des tableaux binaires, ce qui rend leur inspection plus difficile ;
  • il charge le code des ressources chiffrées dynamiquement, ce que la plupart des moteurs de détection ne peuvent pas pénétrer et inspecter. Le code chargé dynamiquement est également inondé de commandes sans signification qui masquent les commandes réelles ;
  • il vérifie s'il est exécuté dans un émulateur avant de débuter son activité malveillante. Une technique qui a déjà fait ses preuves sur PC et qui devient une tendance du côté des logiciels malveillants sur mobiles.

Pour les chercheurs, qui ont détecté la menace chez un de leur client, « cet incident démontre combien les logiciels malveillants peuvent être une menace pour vos activités et combien la détection comportementale avancée comble les lacunes de la sécurité mobile que les attaquants utilisent pour pénétrer des réseaux entiers ». Et d’estimer que Charger pourrait être un indicateur d'une évolution à plus grande échelle chez les développeurs de logiciels malveillants mobiles pour tenter de rattraper « leurs cousins ransomware sur PC ».

Source : blog Check Point

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 27/01/2017 à 17:30
je pense que la photo n'a rien a voir avec le sujet.

parce que dans cet articles : https://www.bleepingcomputer.com/new...le-play-store/
on voit la capture d'ecran de l'app et c'est assez coherent avec le sujet

résume si on veut pas etre emmerdé par les ransomware, faut ce connecter au google play via un vpn qui tombe en ukraine, russie ou bielorussie au moins le temps de tester l'application
1  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 27/01/2017 à 12:00
Selon les chercheurs de Check Point, l'application a été disponible sur Google Play pendant quatre jours et n'avait qu'une poignée de téléchargements.
Entre 1 et 5 millions de téléchargements, je n'appelle pas ça "une poignée"
0  0