Microsoft met en garde contre un nouveau ransomware Android

Spread the love
  • Yum

Microsoft met en garde contre un nouveau ransomware Android

Une nouvelle souche de ransomware mobile a été découverte. Elle utilise les mécanismes de la notification d’appel entrant et le bouton “Home” pour verrouiller l’écrans d’un appareil.

Nommé “AndroidOS/MalLocker.B”, le ransomware se cache dans des applications Android proposées en téléchargement sur des forums en ligne et des sites web tiers.

publicité

Une rançon qui se fait passer pour une amende

Comme la plupart des ransomwares Android, MalLocker.B ne chiffre pas réellement les fichiers de la victime, mais empêche simplement l’accès au contenu du téléphone. Une fois installé, il prend le contrôle de l’écran du téléphone et affiche un message des attaquants, qui ne peut pas être retiré.

La demande de rançon est conçue pour ressembler à un message des forces de l’ordre locales, indiquant aux utilisateurs qu’ils ont commis un crime et qu’ils doivent payer une amende :

fig1b-ransom-note-576x1024.png

Image : Microsoft.

Depuis plus d’une demi-décennie, cette forme consistant à présenter une amende policière est la plus populaire parmi les ransomwares sur Android.

Au fil du temps, ces souches de malwares ont abusé de diverses fonctions du système d’exploitation Android, afin que les appareils des utilisateurs restent verrouillés sur l’écran d’accueil. Par le passé, les attaquant ont utilisé des techniques consistant à abuser de la fenêtre d’alerte système ou à désactiver les fonctions qui interagissent avec les boutons physiques du téléphone.

Abus de deux fonctionnalités du système

MalLocker.B propose une nouvelle variante de ces techniques. Le ransomware utilise un mécanisme en deux parties pour afficher sa note de rançon.

La première partie abuse de la notification “d’appel”. C’est la fonction qui s’active pour les appels entrants, afin d’afficher des informations sur l’appelant. MalLocker.B l’utilise pour afficher une fenêtre qui couvre toute la zone de l’écran.

La deuxième partie abuse de la fonction “onUserLeaveHint()”. Cette fonction permet aux utilisateurs de mettre en arrière-plan une application pour passer sur une autre. Elle se déclenche en appuyant sur les boutons “Home” ou “Récents” par exemple. MalLocker.B abuse de cette fonction pour ramener sa demande de rançon au premier plan, et empêcher l’utilisateur de revenir à l’écran d’accueil ou de passer sur une autre application.

Se méfier des applications téléchargées hors du Play Store

L’abus de ces deux fonctions est une astuce nouvelle et inédite, même si l’utilisation du bouton “Home” par un ransomware a déjà existé. Par exemple, en 2017, ESET a découvert une souche de ransomware Android nommée DoubleLocker, qui abusait du service Accessibilité pour se réactiver après que les utilisateurs ont appuyé sur le bouton Home.

Comme MalLocker.B contient un code trop simpliste et trop visible pour passer les contrôles du Play Store, il est conseillé aux utilisateurs d’éviter d’installer des applications Android téléchargées depuis des sites tiers : forums, sites de publicité ou magasins d’applications tiers non autorisés.

Une analyse technique de cette nouvelle menace est disponible sur le blog de Microsoft.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *