Ransomware Charger éliminé de Google Play

Des chercheurs de chez Check Point ont identifié un nouveau type de ransomware pour Android baptisé Charger. Ce malware était intégré à EnergyRescue, un utilitaire de gestion de la batterie diffusé via Google Play.

Cette découverte réalisée par Check Point remonte à 3 semaines ; Google a déjà éliminé le malware de son magasin. D’après les experts, propager une malware via Google Play est une décision téméraire de la par des individus malintentionnés car dans la majorité des cas, les malwares Android sont diffusés via des sites alternatifs.

« Charger est peut être le témoin de l’intensification des efforts déployés par les auteurs de malwares pour appareils mobiles dans la course qui les oppose à leurs collègues auteurs de malwares pour ordinateurs » écrivent les experts Oren Koriat et Andrey Polkovnichenko dans le blog de Check Point. Dans un entretien avec Threatpost, les experts ont déclaré : « EnergyRescue est doté d’un arsenal de moyens pour déjouer les analyses jamais vu jusqu’à ce jour ».

Comme ils l’expliquent, la majorité des malwares qui parvient à s’introduire sur Google Play est composée d’applications qui font gagner de l’argent aux individus malintentionnés en se contentant d’afficher des publicités non sollicitées. Charger, de son côté, à un autre objectif en tête. Une fois installée, l’application EnergyRescue infectée vole les contacts de la victime et les SMS et elle tente également d’obtenir les privilèges d’administrateur. « Si l’utilisateur octroie les privilèges d’administrateur à l’application, le malware bloque l’appareil et affiche la demande de rançon » expliquent les chercheurs.

Celle-ci s’élève à 0,2 bitcoin (180 dollars). La rédaction du message affiché par Charger laisse à désirer et les points d’exclamation abondent. Le texte débute par une menace : « Vous devez nous payer ou alors nous vendrons une partie de vos informations personnelles sur le marché noir toutes les 30 minutes. Les individus malintentionnés garantissent également que les « fichiers seront restaurés » après la réception du paiement et qu’ils supprimeront toutes les données personnelles en leur possession. Le message du malware précise : « Nous récoltons et chargeons toutes vos informations personnelles. Toutes vos données au sujet des vos réseaux sociaux, de vos comptes en banque et de vos cartes de crédit. Nous récoltons toutes les données relatives à vos amis et aux membres de votre famille. »

En réalité, Charger ne chiffre pas les informations stockées sur le smartphone. Il se contente de bloquer l’accès et d’exiger le paiement d’une rançon. « La majorité des malwares présents sur Google Play ne contiennent qu’un programme de type dropper dont le rôle est de télécharger les composants malveillants sur l’appareil. Charger suit une autre voie : il est consciencieusement compacté, ce qui l’empêche de rester inaperçu et doit donc compenser ce point à l’aide d’autres moyens » expliquent Oren Koriat et Andrey Polkovnitchenko.

Une des techniques de dissimulation employée consiste à coder les lignes dans des tableaux binaires difficiles à analyser. Charger « charge également de manière dynamique le code depuis des ressources chiffrées que la majorité des moteurs de détection ne parvient pas à pénétrer ou à analyser ». Afin de masquer les intentions réelles du malware, les auteurs de virus ont inséré des commandes dépourvues de sens dont le but est de masquer le flux de commandes réelles. Ils ont également prévu des outils de détection d’exécution dans des émulateurs de systèmes d’exploitation ; quand ce genre d’exécution se produit, Charger entre en mode de veille. Comme le précisent les experts : « Cela signifie que l’analyse statistique, comme celle pratiquée par Bouncer, n’est pas en mesure d’analyser les segments chiffrés du code responsables de l’activité malveillante ».

D’après Check Point, les ransomwares pour appareils nomades constituent un phénomène relativement récent. La majeure partie de ces infections se produit lorsque l’utilisateur évite les magasins officiels à l’aide d’applications téléchargées depuis des sites tiers.

Des représentants de Google ont envoyé une brève déclaration à Threatpost : « Nous apprécions les efforts fournis par Check Point afin de tenir la communauté informée sur ce problème. Nous avons adopté des mesures efficaces sur Play et nous maintenons une étroite coopération avec les chercheurs dans le but de garantir la sécurité des utilisateurs de la plateforme Android. »

Google explique que les applications qui figurent dans son magasin sont analysées afin de voir si elles sont conformes aux dispositions de la Politique applicable au contenu des développeurs et de l’Accord sur la diffusion des applications. Cela permet d’éviter qu’une malware se fasse passer pour une autre application légitime ou que des applications de nature malveillantes fassent leur entrée dans Google Play. La page consacrée à la sécurité d’Android indique que : « Toutes les applications pour Android proposées via Google Play sont soumises à un examen détaillé. Nous vérifions également tous les développeurs et bloquons ceux qui ne respectent pas nos règles. Par conséquent, vous pouvez avoir confiance en la sécurité des applications présentes sur Google Play. »

Ceci étant dit, Google s’appuie également sur la « communauté des utilisateurs et des développeur qui sont autorisés à signaler une application en vue d’une analyse complémentaire. »

De leur côté, les représentants de Check Point ont déclaré que EnergyRescue était, d’après eux, la seule application qui contenait Charger : « Nous pensons qu’il s’agissait d’un essai réalisé par les auteurs de virus et qu’il faudra s’attendre à une répétition de ce scénario à l’avenir ».

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *