Le malware CryCryptor cible les photos et les vidéos Android

Une nouvelle souche de rançongiciel nommée CryCryptor a fait son apparition. Le logiciel malveillant semble cibler les utilisateurs d’Android et chiffre les photos et les vidéos personnelles.

Le rançongiciel CryCryptor a d’abord été repéré lors d’une campagne d’hameçonnage ou il prétendait être l’application officielle de traçage du COVID-19 fournie par Santé Canada. Il se propage via deux sites Web différents qui prétendent être officiels, selon les chercheurs d’ESET, l’un appelé tracershield[.]ca.

Comme d’autres familles de rançongiciels avant lui, il chiffre les fichiers ciblés. Mais, au lieu de simplement verrouiller l’appareil, CryCryptor laisse un fichier «readme» avec l’adresse électronique de l’attaquant dans chaque répertoire. Il est également basé sur du code open-source facile à trouver sur GitHub.

Lorsque quelqu’un lance l’application malveillante, elle demande l’accès aux fichiers sur l’appareil. Après cela, les fichiers sélectionnés sont chiffrés en utilisant l’algorithme AES avec une clé de 16 caractères générée aléatoirement.

crycryptor

«Après que CryCryptor ait chiffré un fichier, trois nouveaux fichiers sont créés et le fichier d’origine est supprimé», selon ESET. «Le fichier chiffré a l’extension de fichier .enc , et l’algorithme génère un sel unique pour chaque fichier chiffré, stocké avec l’extension .enc.salt; et un vecteur d’initialisation, .enc.iv. “

Fait intéressant, les fichiers ciblés incluent les photos et les vidéos.

“Il est intéressant de voir que cette attaque incluait des extensions de types de fichiers tels que .jpg, .png et .avi ainsi que des types de documents”, a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4. «En chiffrant des photos et des vidéos sur le stockage externe du téléphone au lieu de simples documents, les pirates rendent l’attaque plus personnel et tentent d’améliorer leurs chances de paiement. Les gens ont tendance à garder beaucoup de photos personnelles sur leurs appareils, ce qui en fait une cible de choix. »

google

Une fois le chiffrement terminé, les chercheurs ont découvert que CryCryptor affiche une notification qui dit: “Fichiers personnels cryptés, voir readme_now.txt.” Ce fichier readme_now.txt est placé dans chaque répertoire contenant des fichiers chiffrés.

Les chercheurs d’ESET ont découvert le dépôt GitHub en utilisant une simple recherche “en utilisant le nom du package de l’application et quelques chaînes qui semblaient uniques”, ont-ils déclaré.

Les développeurs ont tenté de dissimuler le projet, appelé CryDroid, en le faisant passer pour un projet légitime et prétendent avoir envoyé le code sur le service VirusTotal.

“[Ils devaient savoir que le code serait utilisé à des fins malveillantes”, selon ESET. «Nous rejetons l’affirmation selon laquelle le projet a des objectifs de recherche – aucun chercheur responsable ne rendrait public un outil facile à utiliser à des fins malveillantes.»

Les chercheurs ont pu contré CryCryptor

Les chercheurs ont pu créer un outil de déchiffrement, grâce à une faille dans le code de l’application malveillante.

“Après avoir repéré le tweet qui a amené ce rançongiciel [CryCryptor] sur notre radar (le chercheur qui l’a découvert a par erreur étiqueté le malware comme un cheval de Troie bancaire), nous avons analysé l’application”, ont déclaré des chercheurs dans un article. “Nous avons découvert une faille de type “Exportation incorrecte de composants Android” que MITRE étiquetait comme CWE-926.”

Ce type de faille, répertorié comme une «exportation incorrecte des composants d’application Android», se produit lorsqu’une application Android «exporte un composant pour une utilisation par d’autres applications, mais ne restreint pas correctement les applications qui peuvent lancer le composant ou accéder aux données qu’il contient, » selon MITRE.

En raison de la faille de l’application, toute autre application installée sur l’appareil concerné peut lancer tout service exporté fourni par le rançongiciel CryCryptor.

«Cela nous a permis de créer l’outil de déchiffrement – une application qui lance la fonctionnalité de déchiffrement intégrée à l’application de rançongiciel par ses créateurs», selon ESET.

CryCryptor, comme d’autres logiciels malveillants, cherche à tirer avantage du fait que les gouvernements déploient des applications de traçage de COVID-19 pour lutter contre la pandémie. Le gouvernement canadien a officiellement annoncé la création d’une application de traçage volontaire à l’échelle nationale appelée COVID Alert, qui sera d’abord testée dans la province de l’Ontario en Juillet. La nouvelle famille de rançongiciel est apparue quelques jours après l’annonce.

Une autre nouvelle souche de malware a récemment été trouvée en utilisant la même tactique. Le ransomware «[F]Unicorn» est apparu en mai, se faisant passer pour «Immuni» – l’application officielle de suivi du coronavirus en Italie. La vraie version bêta se déploie à travers le pays; la fausse application héberge un exécutable malveillant, censé provenir de la Fédération italienne des pharmaciens (FOFI).

Les campagnes d’hameçonnage les plus réussies utilisent un événement d’actualité pour préparer le terrain avec la victime afin d’augmenter leur efficacité.

Le COVID-19 fournit un sujet idéal aux cybercriminels pour mener ces opérations. Les utilisateurs seront probablement familiarisés avec les attaques d’hameçonnage, et CryCrypto n’est pas le premier rançongiciel Android dans la nature. Ce qui diffère pour la plupart des utilisateurs dans le contexte des appareils mobiles, c’est l’utilisation de vecteurs de communication qui ne sont généralement pas associés aux attaques d’hameçonnage. Cela inclut la voix, les SMS, les applications de messagerie et les réseaux sociaux où les attaquants peuvent communiquer avec les victimes potentielles pour les inciter à installer des applications non légitimes.

Si cet article vous a plu, jetez un œil à notre article précédent.