Des chercheurs ont trouvé un ransomware caché dans une application Android
Et disponible sur le Google Play Store

Le , par Stéphane le calme, Chroniqueur Actualités
D’après des chercheurs en sécurité de Check Point Software, la plateforme de téléchargements Android Play a été utilisée par des malfaiteurs pour héberger un ransomware. Baptisé Charger, le logiciel malveillant était caché derrière l’application EnergyRescue. À l’installation de cette dernière, le logiciel se charge de subtiliser les contacts ainsi que les messages SMS de l’appareil infecté et demande par la suite des autorisations d'administration. Si elles lui sont accordées, le ransomware verrouille le périphérique et affiche un message exigeant le paiement:

« Vous devez nous payer, sinon nous allons vendre une partie de vos informations personnelles sur le marché noir toutes les 30 minutes. NOUS DONNONS 100% DE GARANTIE QUE TOUS LES FICHIERS SERONT RESTAURÉS APRÈS RÉCEPTION DU PAIEMENT. NOUS ALLONS DÉBLOQUER LE DISPOSITIF MOBILE ET ALLONS SUPPRIMER TOUTES VOS DONNÉES DE NOS SERVEURS ! ÉTEINDRE VOTRE TÉLÉPHONE NE SERT À RIEN, TOUTES VOS DONNÉES SONT DÉJÀ ENREGISTRÉES SUR NOS SERVEURS ! NOUS POUVONS TOUJOURS LES VENDRE POUR DES SPAMS, DES IMPOSTURES, DES CRIMES BANCAIRES, etc ... Nous collectons et téléchargeons toutes vos données personnelles : toutes les informations sur vos réseaux sociaux, comptes bancaires, cartes de crédit. Nous recueillons toutes les données concernant vos amis et votre famille ».

Le logiciel demande 0,2 BTC en guise de rançon (166,96 EUR au moment de la rédaction de ces lignes), un montant bien plus élevé que ce que Check Point a pu observer jusqu’ici. L’entreprise a rappelé par exemple que le ransomware DataLust demandait 15 dollars.

Selon les chercheurs de Check Point, l'application a été disponible sur Google Play pendant quatre jours et n'avait qu'une poignée de téléchargements : « nous pensons que les attaquants voulaient seulement lancer des tests et n’envisageaient pas encore une propagation ». Ils en ont informé Google qui a vite fait de retirer l’application de sa vitrine de téléchargement en ne manquant pas de les remercier.


Une analyse a montré que l’application vérifie les paramètres locaux du périphérique infecté et ne lance pas Charger si le périphérique est situé en Ukraine, en Russie ou en Biélorussie. Une restriction volontaire que les chercheurs ont attribuée à une tentative d’empêcher les développeurs de faire face à des actions en justice dans ces pays.

Ils ont également noté que la plupart des logiciels malveillants trouvés sur Google Play contiennent uniquement un déclencheur qui télécharge ultérieurement les composants malveillants réels sur le périphérique. Pourtant, Charger va se servir d’une approche d’empaquetage lourd, ce qui rend la tâche plus difficile au malware s’il doit rester caché ; il doit donc compenser ce défaut. « Les développeurs de Charger lui ont donné tout ce qu'ils avaient pour renforcer ses capacités d'évasion et donc il pourrait rester caché sur Google Play aussi longtemps que possible ».
Le malware utilise plusieurs techniques avancées pour cacher ses intentions réelles et se rendre plus difficile à détecter.
  • il encode des chaînes dans des tableaux binaires, ce qui rend leur inspection plus difficile ;
  • il charge le code des ressources chiffrées dynamiquement, ce que la plupart des moteurs de détection ne peuvent pas pénétrer et inspecter. Le code chargé dynamiquement est également inondé de commandes sans signification qui masquent les commandes réelles ;
  • il vérifie s'il est exécuté dans un émulateur avant de débuter son activité malveillante. Une technique qui a déjà fait ses preuves sur PC et qui devient une tendance du côté des logiciels malveillants sur mobiles.

Pour les chercheurs, qui ont détecté la menace chez un de leur client, « cet incident démontre combien les logiciels malveillants peuvent être une menace pour vos activités et combien la détection comportementale avancée comble les lacunes de la sécurité mobile que les attaquants utilisent pour pénétrer des réseaux entiers ». Et d’estimer que Charger pourrait être un indicateur d'une évolution à plus grande échelle chez les développeurs de logiciels malveillants mobiles pour tenter de rattraper « leurs cousins ransomware sur PC ».

Source : blog Check Point


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Volgaan Volgaan - Membre habitué https://www.developpez.com
le 27/01/2017 à 12:00
Selon les chercheurs de Check Point, l'application a été disponible sur Google Play pendant quatre jours et n'avait qu'une poignée de téléchargements.
Entre 1 et 5 millions de téléchargements, je n'appelle pas ça "une poignée"
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 27/01/2017 à 17:30
je pense que la photo n'a rien a voir avec le sujet.

parce que dans cet articles : https://www.bleepingcomputer.com/new...le-play-store/
on voit la capture d'ecran de l'app et c'est assez coherent avec le sujet

résume si on veut pas etre emmerdé par les ransomware, faut ce connecter au google play via un vpn qui tombe en ukraine, russie ou bielorussie au moins le temps de tester l'application
Offres d'emploi IT
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil