La vigilance est de mise. ESET, une firme de cybersécurité slovaque, s’est fendue d’un billet publié le 29 juillet 2019 pour mettre en exergue l’émergence d’un nouveau ransomware au potentiel très dangereux en cas de propagation massive. Au moins actif depuis le 12 juillet 2019, le logiciel malveillant baptisé Android/Filecoder.C a tout d’abord fait son apparition sur les célèbres forums Reddit et XDA Developers.
Ce rançongiciel repose sur un principe simple : le pirate publie un lien (qui se dote par ailleurs d’un raccourcisseur d’URL de type bit.ly) ou un QR Code en les faisant passer pour du contenu pornographique, lequel contient en fait le fameux logiciel malveillant. Une fois installé sur l’appareil Android, ce dernier dérobe la liste des contacts de la victime et envoie un autre lien à tous les contacts du téléphone ciblé.
Mécanisme de chiffrage
Pour mieux se fondre dans la masse, le ransomware diffusé comporte 42 versions linguistiques, et s’adapte surtout à la langue (si elle est prise en charge) de chaque périphérique. En cliquant sur le lien, la personne visée télécharge ainsi une application qui fait apparaître un jeu en ligne de type « simulateur de sexe ». En réalité, le malware met en place un mécanisme de chiffrage en arrière-plan visant les données stockées.
Mais avant ça, il prendra le soin d’accéder à la liste des contacts et de diffuser le virus à tous les numéros du device. C’est d’ailleurs l’une des principales forces d’Android/Filecoder.C : sa capacité à se propager à grande vitesse s’il parvient à berner les utilisateurs. À noter que le logiciel n’a aucun impact sur les formats de fichiers Android .apk et .dex. Une fois les données chiffrées, un message apparaît et exige une rançon financière sous forme de bitcoin, équivalant à une somme comprise entre 94 et 188 dollars.
Une cinquantaine de personnes touchée
Pour accentuer la pression, le soi-disant nombre de fichiers chiffrés et un délai avant destruction de la data accompagnent le montant à régler. Ce qui poussera les victimes à régler la note le plus rapidement possible, bien que rien «ne permet d’affirmer que les données affectées soient perdues après 72 heures », indique l’entreprise qui a analysé le code du logiciel. Le fait est que les pirates usent d’une technique d’approche pour le moins efficace, puisque 59 personnes provenant de pays différents se sont déjà fait berner.
Selon les chercheurs, l’adresse Bitcoin utilisée, qui peut certes être modifiée par les hackers, n’a pour le moment enregistré aucune transaction. Pour endiguer le problème, charge à XDA Developers et Reddit de prendre le taureau par les deux cornes en supprimant les publications et en bannissant les comptes : c’est chose faite pour le premier, alors que le profil du pirate reste encore actif sur le second.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !