Une imitation de WannaCry ciblant les smartphones Android

L’imitation de WannaCry crypte les fichiers sur le stockage externe des smartphones Android

Il semble que le ransomware WannaCry soit devenu une source d’inspiration pour de nombreux escrocs à travers le monde. Nous avons récemment rapporté comment un adolescent de 14 ans du Japon, impressionné par le malware, a été arrêté la semaine dernière pour avoir développé un malware similaire à WannaCry.

Maintenant, des cybercriminels en Chine ont développé un ransomware Android qui utilise des graphiques similaires à ceux de WannaCry et trompe les utilisateurs pour qu’ils paient rapidement la rançon.

Pour ceux qui ne sont pas familiers, le ransomware WannaCry a exploité une vulnérabilité dans le système d’exploitation Windows de Microsoft et a infecté plus de 300 000 ordinateurs dans 150 pays en 72 heures le mois dernier. Le cryptovirus WannaCry a crypté des données et a exigé un paiement en monnaie virtuelle Bitcoin en échange d’un mot de passe pour déverrouiller les données.

Repéré pour la première fois par la société de sécurité chinoise Qihoo 360 et surnommé “ WannaLocker ” par Avast, cette version imitation du ransomware WannaCry cible actuellement les utilisateurs Android vivant en Chine. Les hackers diffusent ce ransomware via des forums de jeux chinois où il est déguisé en plugin pour le Roi de la Gloire, un jeu mobile très populaire en Chine.

Comment fonctionne le malware ?

Lors de l’installation de ce faux add-on sur l’appareil, le ransomware WannaLocker cache son icône d’application dans le tiroir d’applications et change le fond d’écran principal de l’appareil infecté en une image d’anime. Ensuite, il commence à crypter les fichiers stockés sur le stockage externe de l’appareil infecté.

Le ransomware utilise le cryptage AES pour verrouiller les fichiers (voir le code ci-dessous). Pour éviter la corruption et le plantage du système d’exploitation Android, il ne crypte pas les fichiers qui commencent par un “.”, ou les fichiers qui incluent “DCIM”, “download”, “miad”, “android” et “com.” dans le chemin, ou les fichiers qui sont plus gros que 10 Ko.

Une fois le processus de cryptage terminé, il exige une rançon même inférieure à celle de Simplocker, et utilise un message de rançon clairement inspiré de la note de WannaCry pour révéler ses ordres.

Nikolaos Chrysaidos, responsable de l’intelligence et de la sécurité des menaces mobiles chez Avast, explique plus en détail dans un article de blog :

“Le ransomware exige alors une rançon de 40 Renminbi chinois, ce qui équivaut à environ 5-6 dollars américains. Ce n’est pas beaucoup comparé à ce que d’autres ransomwares mobiles ont exigé dans le passé. Le fait que la rançon soit demandée en monnaie ordinaire et non en cryptomonnaies me fait penser que les personnes derrière cela essaient de gagner de l’argent, et rapidement. Cela est cependant risqué car l’argent peut être facilement tracé, contrairement à l’envoi de cryptomonnaies.”

Les victimes du ransomware sont invitées à payer la rançon en monnaie ordinaire en utilisant des méthodes de paiement chinoises comme QQ, Alipay et WeChat.

La gestion négligente de la rançon suggère qu’il pourrait s’agir d’un travail d’un hacker amateur ou d’un groupe de hackers. En conséquence, il ne s’agit que d’une question de temps avant que les autorités chinoises ne découvrent qui se cache derrière le ransomware WannaLocker et qui reçoit la rançon.

Voici un conseil de sécurité d’Avast pour les utilisateurs Android :

Pour protéger votre téléphone et vos précieuses photos, vidéos, contacts stockés dessus contre les ransomwares, assurez-vous de sauvegarder fréquemment vos données et d’installer un antivirus sur tous vos appareils.

De plus, les utilisateurs Android devraient s’abstenir de télécharger des applications sur d’autres places de marché d’applications que Google Play. En cas de victime d’une attaque par rançon, ne cédez pas à la demande de rançon et cherchez plutôt de l’aide professionnelle.

La semaine dernière, Check Point, une société de sécurité en ligne, a détecté un malware malveillant appelé “ Fireball ” qui a été créé par la société publicitaire chinoise Rafotech, qui prend le contrôle du navigateur web de l’utilisateur et génère de faux clics publicitaires et promotions pour ses clients en ligne. Le malware a affecté plus de 250 millions d’ordinateurs dans le monde, l’Inde étant le pays le plus touché.

Source : IBT