Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Android: Le ramsonware Simplocker de retour avec une nouvelle version

12 Février 2015 , Rédigé par nicko Publié dans #informatique

Android: Le ramsonware Simplocker de retour avec une nouvelle version

Une nouvelle variante de Simplocker, le premier ransomware de cryptage de fichiers sur les appareils Android, a été découvert, les chercheurs en sécurité ont trouvé qu'il s'appuie sur des clés de chiffrement uniques sur les appareils infectés.

C'est' en 2014 que le malware a été découvert par ESE et Kaspersky. Bien que plusieurs versions circulent dans la nature, ils ont tous été alimenté par du code brut et des méthodes de chiffrement qui ont permis à des chercheurs en sécurité de venir avec un antidote dans un temps très court.

Le Malware dans une fausse application Flash Player

Android: Le ramsonware Simplocker de retour avec une nouvelle version

D'autre part, la dernière révision semble avoir beneficier d'une évolution, selon des chercheurs de Avast, qui ont constaté que l'élaboration d'une solution de reversion de l'effet de chiffrement n'est plus une tâche facile.

Plus de 5000 visiteurs uniques ont été infectés en quelques jours après que la nouvelle souche a été détectée.

Les versions précédentes du malware s'appuyaient sur une seule clé pour verrouiller les fichiers sur les appareils concernés.

"La nouvelle variante cependant, verrouille chaque appareil avec une« clé différente "qui rend impossible de fournir une solution qui peut déverrouiller chaque appareil infecté, parce que cela nous obligerait à« faire des copies »de toutes les différentes« clé, "a dit Nikolaos Chrysaidos de Avast dans un billet de blog .

Simplocker se repand via la méthode commune de déguisement d'un programme légitime pour la plate-forme mobile.

Selon les chercheurs, l'échantillon malveillants s'installe via un faux Flash Player. Il semble que les cybercriminels délivrent annonces qui informent la victime potentielle que Flash doit être mis à jour, les dirigeant vers le téléchargement du malware.

Pour installer la fausse mise à jour sur l'appareil Android, celui-ci doit être configuré pour permettre l'installation des logiciels provenant de sources non fiables, un état commun sur de nombreux terminaux car leurs propriétaires se tournent souvent sur l'instalation des programmes sur les marchés tiers.


La communication avec C & C se fait via XMPP

Android: Le ramsonware Simplocker de retour avec une nouvelle version

Selon l'analyse d'Avast, le malware demande des privilèges d'administration, cela le rend plus difficile à retirer de l'appareil, car tous les utilisateurs ne savent où la désactivation des droits administrateur se trouve sur le téléphone les applications.

Le message du ransomware prétend être une notification du FBI car des fichiers suspects qui enfreingne les droits d'auteur seraient sur l'appareil. En conséquence, les données sont cryptées et peut être déverrouillé que si une rançon de $ 200 / € 176 est payée.

Android: Le ramsonware Simplocker de retour avec une nouvelle version

La société de sécurité a déterminé que la version actuelle de Simplocker se connecte au serveur de commande et de contrôle toutes les heures en utilisant le protocole de communication XMPP (username "timoftei" est utilisé, indiquant un attaquant d'Europe de l'Est). Au premier contact avec le serveur le malware envoie des données telles que l'IMEI, la version du système d'exploitation, le nom du transporteur, numéro de téléphone et le pays.

Source: Softpedia

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article