Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le ransomware Flocker s'attaque désormais aux Smart TV tournant sur Android OS
Comment vous en débarrasser si vous en êtes victimes ?

Le , par Stéphane le calme

159PARTAGES

7  0 
Les chercheurs en sécurité de Trend Micro ont découvert une nouvelle variante d’un ransomware qui verrouille les smartphones tournant sur Android, mais également les Smart TV.

Flocker (le diminutif de Frantic Locker) a été découvert la première fois en mai 2015. Les chercheurs de Trend Micro avaient alors collecté plus de 7000 variantes de ce logiciel malveillant que les auteurs n’ont pas arrêté de réécrire afin d’éviter la détection, mais également de perfectionner ses routines.

En avril dernier, les chercheurs ont découvert 1200 variantes de Flocker. La dernière variante qu’ils ont observée est un cheval de Troie qui se fait passer pour les forces de l’ordre (la cyberpolice américaine ou un autre corps/agence dans les forces de l’ordre). Il accuse les potentielles victimes de crimes qu’elles n’ont pas commis. Par la suite il demande un paiement de 200 dollars à la victime en cartes cadeaux iTunes.

Trend Micro ne l’a pas confirmé, mais l’interface de cette variante ressemble beaucoup à celle qui a été utilisée par le ransomware Cyber.Police (Dogspectus). En avril, à peu près au moment où le développement de Flocker a connu un pic, les spécialistes en sécurité Blue Coat et Zimperium ont avancé que Cyber.Police s’est doté de la capacité à infecter les dispositifs Android sans une intervention de l’utilisateur.

Pour éviter l’analyse statique, Flocker cache son code dans les fichiers raw data dans le dossier « Assets ». Un fichier nommé « form.html » sera créé à l’intérieur.



« En le faisant, le code de “classes.dex” devient très simple et aucun comportement malveillant ne peut y être trouvé. Aussi, le logiciel malveillant a des chances d’échapper à l’analyse statique du code. Lorsque le logiciel malveillant s’exécute, il déchiffre “form.html” et exécute le code malveillant », expliquent les chercheurs.

Flocker a été conçu pour éviter certaines régions notamment le Kazakhstan, l'Azerbaïdjan, la Bulgarie, la Géorgie, la Hongrie, l'Ukraine, la Russie, l'Arménie et la Biélorussie. Si le dispositif indique qu’il se trouve dans une de ces régions, Flocker se désactive automatiquement. Dans le cas contraire, il attend 30 minutes après avoir infecté le dispositif avant d’exécuter ses routines. Il va lancer ses services en arrière-plan et demander les privilèges administrateur au dispositif : « nous considérons ceci comme étant une ruse pour contourner la sandbox dynamique. Si l’utilisateur refuse la requête, il va figer l’écran et simuler une mise à jour système ».

Flocker s’exécute en tâche de fond et se connecte à un serveur C&C. Ce dernier lui envoie la nouvelle charge utile “misspelled.apk” ainsi que le fichier HTML pour la "rançon" avec une interface JavaScript activée. Cette page HTML a la capacité de lancer l'installation de l’APK, de prendre des captures d’écran de l’appareil de l'utilisateur infecté en utilisant l'interface JavaScript et d'afficher les photos prises dans la page de rançon.

Si les versions précédentes ne tournaient que sur les téléphones mobiles Android, cette version fonctionne également sur les Smart TV tournant sur Android OS comme le précisent les chercheurs qui assurent que « la page Web de la rançon correspond à l'écran, peu importe si elle a infecté un appareil mobile ou une Smart TV ».

Pour rappel, l’année dernière, les chercheurs de Symantec ont misé sur une augmentation des ransomwares sur les Smart TV. Trend Micro a fait ce commentaire pour les utilisateurs de Smart TV qui sont infectés par Flocker « si une télévision Android est infectée, nous vous suggérons en premier lieu de contacter le constructeur de la télévision. Une autre façon de vous débarrasser du logiciel malveillant serait d’activer le débogage ADB. Les utilisateurs peuvent connecter leur TV à un ordinateur, lancer le shell ADB et exécuter la commande “PM clear %pkg%”. Cette dernière va tuer le processus du ransomware et déverrouiller l’écran. Les utilisateurs peuvent alors désactiver les privilèges administrateurs octroyés à l’application et la désinstaller ».

Source : blog Trend Micro

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Bigb
Membre averti https://www.developpez.com
Le 15/06/2016 à 14:28
Les constructeurs n'ont pas du tout pris la mesure du problème concernant la sécurité des "objets connectés" au sens large. Autant pour les PCs les utilisateurs commencent à être alertés, autant pour les caméras, TVs , ... on en est resté au plug and play sans se soucier de comment ça fonctionne...
2  0 
Avatar de shkyo
Membre expérimenté https://www.developpez.com
Le 15/06/2016 à 16:36
Citation Envoyé par Bigb Voir le message
Les constructeurs n'ont pas du tout pris la mesure du problème concernant la sécurité des "objets connectés" au sens large. Autant pour les PCs les utilisateurs commencent à être alertés, autant pour les caméras, TVs , ... on en est resté au plug and play sans se soucier de comment ça fonctionne...
Tout à fait d'accord!! Et ça promet de belles crises de nerfs aux utilisateurs néophytes... Parce que la solution que donne les gars de chez Trend, connexion avec un pc, lancer un shell, modifier des droits d'accès, ça ne va pas amuser tout le monde!
1  0 
Avatar de Le Vendangeur Masqué
Nouveau Candidat au Club https://www.developpez.com
Le 16/06/2016 à 10:43
Citation Envoyé par Bigb Voir le message
Les constructeurs n'ont pas du tout pris la mesure du problème concernant la sécurité des "objets connectés" au sens large. Autant pour les PCs les utilisateurs commencent à être alertés, autant pour les caméras, TVs , ... on en est resté au plug and play sans se soucier de comment ça fonctionne...
Le problème c'est surtout d'y avoir mis un OS dont le concepteur, Google, se fout totalement de la sécurité de ses utilisateurs. Autoriser des applis qui viennent de n'importe où sans le moindre contrôle c'est l'assurance d'avoir des malwares. D'autant que les utilisateurs de TV sont un public encore moins sensibilisé à la sécurité que les utilisateurs de PC.
0  0 
Avatar de papy88140
Membre habitué https://www.developpez.com
Le 18/06/2016 à 14:18
tant que c'est "que" des TV ...
on parle maintenant des problèmes sur les voitures !
0  0 
Avatar de Le Vendangeur Masqué
Nouveau Candidat au Club https://www.developpez.com
Le 16/06/2016 à 10:36
Citation Envoyé par Stéphane le calme Voir le message
Une autre façon de vous débarrasser du logiciel malveillant serait d’activer le débogage ADB. Les utilisateurs peuvent connecter leur TV à un ordinateur, lancer le shell ADB et exécuter la commande “PM clear %pkg%”. Cette dernière va tuer le processus du ransomware et déverrouiller l’écran. Les utilisateurs peuvent alors désactiver les privilèges administrateurs octroyés à l’application et la désinstaller ».
On croirait une pub façon "Get a Mac" comme en faisait Apple il y a quelques années. C'est tellement caricatural que la Pomme pourrait reprendre ça avec succès pour vendre des AppleTV. Et là on est dans le 100% réel: quand vous avez de l'Android partout, les problèmes peuvent survenir partout.

Franchement je garde cet article sous le coude pour le montrer à tous mes proches: si vous achetez une TV fuyez tout ce qui ressemble à un robot vert. Non seulement vous payerez plus cher mais ça ne vous attirera que des ennuis.
0  1