Zscaler découvre un ransomware sur Androidexploitant un programme pornographique pour exiger une rançon à travers une alerte personnalisée
Les chercheurs de la société de sécurité Zscaler viennent de découvrir une nouvelle variante d’un ransomware. Il se présente sous la forme d’une application lisant les vidéos pornographiques. Une fois que l’utilisateur installe l’application, celle-ci demande les privilèges administrateurs pour verrouiller et déverrouiller l’écran de l’appareil. Une fois que vous autorisez l’application à gérer cette fonctionnalité, l’application présente une page de mise à jour factice sans qu’aucun processus ait eu lieu en arrière-plan.
Ensuite, le malware charge un autre apk nommé test.apk à partir de l’emplacement local (/data/data/content.mercenary.chiffon/app_dex/test.apk) en utilisant une technique appelée attaque de réflexion. Pour rappel, la réflexion est une technique permettant à un programme d’examiner et de modifier sa propre structure ou son comportement à l’exécution.
Aussi pendant que la victime parcourt les images pornographiques de l’application, le programme vérifie si l’appareil photo frontal est disponible et le cas échéant active l’élément et prend une photo de la victime en toute discrétion. Ensuite, l’application test.apk se connecte aux différents domaines suivants :
- hxxp://directavsecurity[.]com
- hxxp://avsecurityorbit[.]com
- hxxp://protectforavno[.]net
- hxxp://trustedsecurityav[.]net
et envoie les informations de l’appareil de la victime à un serveur distant. Celles-ci contiennent entre autres les détails sur la marque de l’appareil utilisé, le modèle utilisé, le fabricant, la version du système d’exploitation exécuté, la carte mère, etc.
| Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | private static jSONObject t(Context context) {
jSONObject jSONObject = new jSONObject ();
jSONObject.put("0", "15");
jSONObject.put("1", "4,15");
jSONObject.put("2", b(context));
jSONObject.put("3", i(context));
jSONObject.put("4", e(context));
jSONObject.put("5", f(context));
jSONObject.put("6", Build.MODEL);
jSONObject.put("7", Build.MANUFACTURER);
jSONObject.put("8", Build.BOARD);
jSONObject.put("9", Build.BRAND);
jSONObject.put("10", Build.DEVICE);
jSONObject.put("11", Build.HARDWARE);
jSONObject.put("12", Build.PRODUCT);
jSONObject.put("13", VERSION.SDK INT);
jSONObject.put("14", VERSION.RELEASE);
jSONObject.put("15", j(context));
jSONObject.put("16", g(context));
jSONObject.put("17", h(context));
return jSONObject;
} |
La victime est par ailleurs invitée à payer une amende de 500 dollars sur un compte PayPal afin que son appareil soit déverrouillé dans les 24 heures qui suivent.
Il faut préciser que l’appareil demeure verrouillé même après un redémarrage du système d’exploitation. Pour s’en débarrasser, il va falloir démarrer l’appareil en mode sans échec. Ensuite, aller dans les paramètres de configuration, sécurité, Adminitrateur de l’appareil puis sélectionner l’option désactiver pour supprimer les droits administrateurs de l’application. Dès que cela est effectué, vous pouvez maintenant désinstaller l’application.
Source : Zscaler
Et vous ?
Que pensez-vous de ce malware ? Avez-vous déjà été victime d'un ransomware ? Forum sécurité Forum Android
Vous avez lu gratuitement 4 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par ChipsAlaMenthe
