Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Zscaler découvre un ransomware sur Android
Exploitant un programme pornographique pour exiger une rançon à travers une alerte personnalisée

Le , par Olivier Famien

60PARTAGES

6  0 
Les chercheurs de la société de sécurité Zscaler viennent de découvrir une nouvelle variante d’un ransomware. Il se présente sous la forme d’une application lisant les vidéos pornographiques. Une fois que l’utilisateur installe l’application, celle-ci demande les privilèges administrateurs pour verrouiller et déverrouiller l’écran de l’appareil. Une fois que vous autorisez l’application à gérer cette fonctionnalité, l’application présente une page de mise à jour factice sans qu’aucun processus ait eu lieu en arrière-plan.

Ensuite, le malware charge un autre apk nommé test.apk à partir de l’emplacement local (/data/data/content.mercenary.chiffon/app_dex/test.apk) en utilisant une technique appelée attaque de réflexion. Pour rappel, la réflexion est une technique permettant à un programme d’examiner et de modifier sa propre structure ou son comportement à l’exécution.

Aussi pendant que la victime parcourt les images pornographiques de l’application, le programme vérifie si l’appareil photo frontal est disponible et le cas échéant active l’élément et prend une photo de la victime en toute discrétion. Ensuite, l’application test.apk se connecte aux différents domaines suivants :

  • hxxp://directavsecurity[.]com
  • hxxp://avsecurityorbit[.]com
  • hxxp://protectforavno[.]net
  • hxxp://trustedsecurityav[.]net


et envoie les informations de l’appareil de la victime à un serveur distant. Celles-ci contiennent entre autres les détails sur la marque de l’appareil utilisé, le modèle utilisé, le fabricant, la version du système d’exploitation exécuté, la carte mère, etc.

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
private static jSONObject t(Context context) {
	jSONObject jSONObject = new jSONObject ();
	jSONObject.put("0", "15");
	jSONObject.put("1", "4,15");
	jSONObject.put("2", b(context));
	jSONObject.put("3", i(context));
	jSONObject.put("4", e(context));
	jSONObject.put("5", f(context));
	jSONObject.put("6", Build.MODEL);
	jSONObject.put("7", Build.MANUFACTURER);
	jSONObject.put("8", Build.BOARD);
	jSONObject.put("9", Build.BRAND);
	jSONObject.put("10", Build.DEVICE);
	jSONObject.put("11", Build.HARDWARE);
	jSONObject.put("12", Build.PRODUCT);
	jSONObject.put("13", VERSION.SDK INT);
	jSONObject.put("14", VERSION.RELEASE);
	jSONObject.put("15", j(context));
	jSONObject.put("16", g(context));
	jSONObject.put("17", h(context));
	return jSONObject;
}
Enfin, le serveur retourne des informations, qui une fois reçues par le téléphone, déclenchent le verrouillage de l’écran en affichant par la même occasion une page contenant la photo de la victime, des informations personnelles telles que l’adresse IP, la localisation géographique, la version d’Android ainsi qu’un message lui signifiant que son appareil a été bloqué pour des raisons de sécurité.


La victime est par ailleurs invitée à payer une amende de 500 dollars sur un compte PayPal afin que son appareil soit déverrouillé dans les 24 heures qui suivent.

Il faut préciser que l’appareil demeure verrouillé même après un redémarrage du système d’exploitation. Pour s’en débarrasser, il va falloir démarrer l’appareil en mode sans échec. Ensuite, aller dans les paramètres de configuration, sécurité, Adminitrateur de l’appareil puis sélectionner l’option désactiver pour supprimer les droits administrateurs de l’application. Dès que cela est effectué, vous pouvez maintenant désinstaller l’application.

Source : Zscaler

Et vous ?

Que pensez-vous de ce malware ?

Avez-vous déjà été victime d'un ransomware ?

Forum sécurité

Forum Android

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 10/09/2015 à 10:32
les droits admin pour matter du porno, c'est le coup du pingouin, manquerait plus qu'un popup à la fin "bravo, vous vous êtes fait bien baiser !"

1  0 
Avatar de ChipsAlaMenthe
Membre averti https://www.developpez.com
Le 09/09/2015 à 9:42
Je trouve ce procédé très malin. Malhonnête mais malin !

Peut-être faudrait-il que Google essaie de faire en sorte que les applications soient limitées en demande d’autorisations sur le téléphone, ou en tout cas qu’elles ne puissent pas accéder au mode superUser. Parfois c’est tout juste s’il ne faut pas fournir le carnet de santé de sa grand-mère pour installer et utiliser une appli…
0  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 09/09/2015 à 13:20
Citation Envoyé par ChipsAlaMenthe Voir le message
Parfois c’est tout juste s’il ne faut pas fournir le carnet de santé de sa grand-mère pour installer et utiliser une appli…
Un bon exemple: Wase ! Très pratique et très utilisée, elle a à peu près tous les droits possibles et imaginables, qui n'ont strictement rien à faire avec la navigation et les bouchons, mais fort à voir avec les pubs et autres exploitations de renseignements persos... Et donc bannie d'office, ce qui évite pas mal de soucis du genre raconté dans cette nouvelle !
0  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 10/09/2015 à 10:06
Je me pose une question : l'application "demande à être administrateur de l'appareil". Donc cela présuppose que le périphérique a été rooté au départ par l'utilisateur ?
0  0