Attention, ce ransomware cherche à cibler vos téléviseurs intelligents

Des cybercriminels extorquent de l’argent aux propriétaires de téléviseurs intelligents Android après avoir encrypté leurs téléviseurs avec un ransomware

On dirait que peu importe ce que les entreprises de sécurité font pour les rattraper, les cybercriminels parviennent à prendre une longueur d’avance. Au milieu des menaces de ransomware qui font la une des journaux ces dernières semaines, un nouveau type de menace a émergé.

Quand on pensait que les cybercriminels s’intéressaient uniquement au piratage de sites Web, au vol de mots de passe, etc., il semble qu’ils se soient tournés vers un nouveau domaine d’intérêt, qui est l’Internet des objets (IoT). En d’autres termes, si vous possédez une montre connectée, un téléviseur intelligent, un réfrigérateur intelligent ou tout autre appareil intelligent connecté à Internet, vous voudrez peut-être faire attention.

Les chercheurs de Trend Micro ont découvert un ransomware de verrouillage d’écran mobile Android, connu sous le nom de ‘FLocker’, qui est capable de verrouiller les smartphones Android ainsi que les téléviseurs intelligents. Oui, vous avez bien entendu !

Echo Duan, un chercheur de Trend Micro, a écrit dans un article de blog qu’à partir du moment où la version FLocker (détectée comme ANDROIDOS_FLOCKER.A et abréviation de “Frantic Locker”) est sortie en mai 2015, plus de 7 000 variations du ransomware malveillant ont été retracées par l’entreprise. Le ransomware FLocker ciblait initialement les smartphones Android, ses développeurs mettant continuellement à jour le ransomware et ajoutant un support pour les nouveaux changements du système Android.

“C’est le premier cas majeur de ransomware à infecter des téléviseurs que nous avons trouvé”, a déclaré Christopher Budd, responsable des communications sur les menaces mondiales, à SCMagazine.com dans un e-mail.

Selon le rapport, son auteur a continué à réécrire le malware pour éviter la détection et améliorer sa routine. “Au cours des derniers mois, nous avons observé des pics et des baisses dans le nombre d’itérations publiées. Le dernier pic est survenu à la mi-avril avec plus de 1 200 variantes”, a déclaré l’entreprise.

Ce FLocker fonctionne comme un Trojan de police et tente d’effrayer la victime potentielle en prétendant être la Cyber Police américaine ou une autre agence d’application de la loi. Une fois le malware téléchargé et le téléviseur verrouillé, le hacker accuse les victimes potentielles d’un crime qu’elles n’ont pas commis et exige 200 $ en cartes-cadeaux iTunes pour déverrouiller le téléviseur intelligent ou l’appareil mobile.

Ironiquement, la commodité même que les propriétaires obtiennent en utilisant plusieurs appareils fonctionnant sur une seule plateforme facilite la vie des hackers. “Utiliser plusieurs appareils qui fonctionnent sur une seule plateforme facilite la vie de beaucoup de gens. Cependant, si un malware affecte l’un de ces appareils, ledit malware peut finalement affecter les autres également”, a écrit Duan.

“En ce qui concerne la manière dont il est livré, cela se fait par des vecteurs d’infection standard : rien de nouveau ou de spécial. Les téléviseurs dans ce cas sont des dommages collatéraux accidentels du ransomware, et non spécifiquement ciblés. Ils se trouvent juste à exécuter une version d’Android attaquable.” a déclaré Budd.

Il y a peu de différence entre FLocker qui attaque les appareils mobiles et la version qui s’en prend aux téléviseurs intelligents.

“Pour éviter l’analyse statique, FLocker cache son code dans des fichiers de données brutes à l’intérieur du dossier “assets”. Le fichier qu’il crée est nommé “form.html” et ressemble à un fichier normal. Ce faisant, le code de “classes.dex” devient assez simple et aucun comportement malveillant ne pourrait y être trouvé. Ainsi, le malware a la chance d’échapper à l’analyse de code statique. Lorsque le malware s’exécute, il déchiffre “form.html” et exécute le code malveillant”, a-t-il écrit.

Trend Micro dit que le malware est configuré pour se désactiver dans certaines régions, y compris la Russie, la Bulgarie, la Hongrie, l’Ukraine, la Géorgie, le Kazakhstan, l’Azerbaïdjan, l’Arménie et la Biélorussie.

Cependant, si FLocker détecte des appareils en dehors de ces pays, le malware attendra 30 minutes. Après cette courte période d’attente, il commence le service en arrière-plan qui demande immédiatement des privilèges d’administrateur de l’appareil. Si l’utilisateur refuse la demande, il gèlera l’écran en simulant une mise à jour du système.

FLocker fonctionne en arrière-plan et se connecte à un serveur de commande et de contrôle (C&C). Le C&C livre ensuite un nouveau payload mal orthographié.apk et le fichier HTML de “rançon” avec une interface JavaScript (JS) activée. Cette page HTML a la capacité de commencer l’installation de l’APK, de prendre des photos de l’utilisateur affecté en utilisant l’interface JS, et d’afficher les photos prises sur la page de rançon.

La page Web de rançon s’adapte à l’écran, peu importe si elle a infecté un appareil mobile ou un téléviseur intelligent.

Bien que la nouvelle variante de FLocker n’encrypte pas les fichiers sur l’appareil infecté, elle a la capacité de voler des données de l’appareil, y compris les contacts, le numéro de téléphone, les informations sur l’appareil et les données de localisation.

Bien que le rapport de Trend Micro ne précise pas comment FLocker infecte les téléviseurs intelligents, il mentionne généralement que l’infection par ransomware arrive par SMS ou liens malveillants.

Par conséquent, vous devez être prudent lorsque vous naviguez sur Internet et que vous recevez des messages texte ou des e-mails de sources inconnues.

Pour les personnes qui ne résident pas en Europe de l’Est, Duan a recommandé sur son blog, “Nous suggérons à l’utilisateur de contacter d’abord le fournisseur de l’appareil pour une solution si leur téléviseur Android est infecté.”

Pour les victimes qui sont un peu technophiles, elles peuvent éventuellement gérer la tâche par elles-mêmes. Il a dit, “Une autre façon de supprimer le malware est possible si l’utilisateur peut activer le débogage ADB. Les utilisateurs peuvent connecter leur appareil à un PC et lancer le shell ADB et exécuter la commande “PM clear %pkg%”. Cela tue le processus de ransomware et déverrouille l’écran. Les utilisateurs peuvent ensuite désactiver le privilège d’administrateur de l’appareil accordé à l’application et désinstaller l’application.”

Il a ajouté, “Pour sécuriser les appareils mobiles, nous conseillons d’installer un logiciel de sécurité sur leurs appareils intelligents pour les protéger des applications malveillantes et des menaces. Trend Micro Mobile Security et Trend Micro Mobile Security Personal Edition protègent les utilisateurs de ce ransomware et d’autres menaces connexes. Trend Micro Mobile Security Personal Edition est disponible sur Google Play.”

La prochaine fois que votre téléviseur intelligent Android refuse de jouer, vous devriez savoir que vous êtes en route pour une grosse rançon.