Application de suivi du coronavirus frauduleuse pour Android verrouille l'appareil

Nous avons récemment rapporté comment les hackers profitaient de la pandémie mortelle de Coronavirus (COVID-19) à leur avantage en exploitant les cartes du coronavirus pour voler des informations utilisateur.

Non seulement cela, mais les cybercriminels ont également utilisé la peur de l’épidémie de coronavirus pour lancer des campagnes par e-mail afin d’infecter les systèmes des utilisateurs avec des logiciels malveillants.

Exploité cette situation davantage, une application Android malveillante circule maintenant et prétend aider à suivre les cas de coronavirus mais installe en réalité un ransomware et verrouille les utilisateurs hors de leur appareil.

Découvert par la société de renseignement sur les menaces DNS DomainTools, le ransomware nouvellement découvert surnommé « CovidLock » utilise des techniques pour refuser à la victime l’accès à son téléphone en forçant un changement de mot de passe utilisé pour déverrouiller le téléphone. Cela est également connu sous le nom d’attaque de verrouillage d’écran et a déjà été observé sur des ransomwares Android.

« Les cybercriminels aiment exploiter les gens lorsqu’ils sont à leur plus vulnérable. Ils utilisent des événements dramatiques qui rendent les gens émotionnels ou craintifs pour augmenter leurs profits », a écrit Tarik Saleh, ingénieur de sécurité senior et chercheur en logiciels malveillants chez DomainTools dans un article de blog. « Le coronavirus n’est pas différent. Peu après la confirmation des premiers cas, les chercheurs de DomainTools ont observé une légère augmentation des noms de domaine exploitant le coronavirus et COVID-19. Ces enregistrements ont atteint un pic significatif au cours des dernières semaines et beaucoup d’entre eux sont des arnaques. »

Le domaine (coronavirusapp[.]site) et (coronavirusapp[.]site/mobile.html) prétend avoir un tracker d’épidémie de coronavirus en temps réel disponible via un téléchargement d’application.

Le domaine incite les utilisateurs à télécharger une application Android qui leur donnera accès à un tracker de carte du coronavirus qui semble fournir des informations de suivi et statistiques sur COVID-19, y compris des visuels de carte thermique. En réalité, l’application est équipée de ransomware.

Une fois que le ransomware effectue une attaque de verrouillage d’écran, les victimes reçoivent un délai de 48 heures pour payer une rançon de 100 $ en bitcoin pour supprimer le verrou. Ils sont également menacés que leurs contacts, photos, vidéos et la mémoire de leur téléphone seraient effacés ainsi que leurs comptes de réseaux sociaux seraient divulgués publiquement.

« Remarque : Votre GPS est surveillé et votre emplacement est connu. Si vous essayez quoi que ce soit de stupide, votre téléphone sera automatiquement effacé », affirme l’application de ransomware.

Pour les appareils Android Nougat et les versions ultérieures, une protection est en place contre ce type d’attaque. Cependant, cela ne fonctionne que si l’utilisateur a défini un mot de passe. Ceux qui n’ont pas défini de mot de passe sur leur téléphone pour déverrouiller l’écran sont toujours vulnérables au ransomware CovidLock.

Heureusement, DomainTools a rétro-ingénieré les clés de déchiffrement et publiera la clé publiquement (bien qu’un Redditor ait également publié le mot de passe apparent). L’équipe a également le portefeuille bitcoin de l’attaquant et surveille les transactions qui y sont associées.

Pour vous protéger, assurez-vous de télécharger des applications Android uniquement depuis le Google Play Store et non depuis des magasins tiers non fiables. Évitez également de cliquer sur quoi que ce soit lié à la santé dans votre e-mail.