Alors que le ransomware Android est inactif depuis 2017, les chercheurs d'ESET ont découvert une nouvelle famille de ransomwares qui utilise les listes de contacts des victimes pour se propager davantage via SMS contenant des liens malveillants.
Le nouveau logiciel de rançon, appelé Android / Filecoder.C, a été distribué sur Reddit sur des sujets liés au contenu adulte, ainsi que pendant une courte période via le forum "XDA Developers".
Le chercheur d'ESET qui a mené l'enquête, Lukáš Štefanko, a fourni des informations supplémentaires sur la campagne de ransomware découverte par l'entreprise, déclarant:
"La campagne que nous avons découverte est petite et assez amateur. De plus, le ransomware lui-même est défectueux, en particulier en ce qui concerne le cryptage mal implémenté. Tous les fichiers cryptés peuvent être récupérés sans l'aide d'attaquants. Cependant, si les développeurs les corrigent. Échecs et distribution devient plus avancé, ce nouveau ransomware pourrait devenir une menace sérieuse. "
Android / Filecoder.C
Android / Filecoder.C a attiré l'attention des chercheurs d'ESET en raison de son mécanisme de transmission unique. Avant de commencer à crypter les fichiers, le ransomware envoie un lot de messages texte à chaque adresse de la liste de contacts de la victime qui contient un lien malveillant vers le fichier d'installation du ransomware.
En plus de son mécanisme de diffusion non traditionnel, Android / Filecoder.C contient quelques anomalies dans son cryptage. Le logiciel de rançon exclut les fichiers volumineux (supérieurs à 50 Mo) et les petites images (moins de 150 Ko). La liste des «types de fichiers à crypter» contient également de nombreuses entrées non liées à Android, ainsi que certaines des extensions Android typiques qui, selon Štefanko, résultent directement de la copie de la liste respectable des ransomwares WannaCry.
Contrairement au ransomware Android classique, Android / Filecoder.C n'empêche pas les utilisateurs d'accéder à leurs appareils en verrouillant l'écran. De plus, la rançon n'est pas définie comme une valeur codée en dur. Le montant demandé par les attaquants est créé dynamiquement à l'aide de l'ID utilisateur attribué par le ransomware à la victime. Ce processus aboutit à un montant de rançon individuel pour chaque victime, allant de 0.01 à 0.02 BTC.
Pour éviter d'être victime d'un ransomware, ESET vous recommande de garder vos appareils à jour, de ne télécharger que les applications de Google Play ou d'autres magasins d'applications réputés, de vérifier les évaluations et les examens des applications avant l'installation, de prêter une attention particulière aux autorisations demandées par un app. et utilisez une solution de sécurité mobile pour protéger votre appareil.