Android : un ransomware trompeur arrive à échapper aux antivirus

Des chercheurs en sécurité ont trouvé un ransomware pour Android, capable d’éviter la détection par les antivirus. Il n’est dans l’absolu pas considéré comme très dangereux mais, comme certains malwares actuels, pourrait représenter une tendance.

L’histoire des malwares n’est pas nouvelle. Si l’on en croit un rapport publié en février par Eset (éditeur notamment de NOD32), le nombre d’attaques par ce vecteur a augmenté de 50 % en 2016 sur la plateforme de Google. Une conjonction de facteurs en est responsable, mais l’utilisation des boutiques tierces et les méthodes visant à tromper l’utilisateur sont clairement les plus présentes.

Des évolutions que l’on retrouve dans un nouveau ransomware découvert par la société ZScaler. Rappelons – s’il est encore besoin de le faire – qu'il s'agit d'un logiciel malveillant dont l’objectif est de chiffrer les données de l’utilisateur puis de lui réclamer une rançon. Il peut payer et avoir une chance de les retrouver, ou refuser et faire avec les conséquences. Les sauvegardes régulières et une bonne hygiène informatique sont les deux seules armes vraiment efficaces contre ce type de menace.

Un compte à rebours de quatre heures

Le nouveau venu ne porte pas encore de nom et se distingue de plusieurs manières. Ses concepteurs l’introduisent dans des applications très utilisées qui sont récupérées, désassemblées, modifiées et empaquetées, avant d’être envoyées dans une ou plusieurs boutiques tierces. Attiré, l’utilisateur la télécharge et l’installe. Rien ne permet en fait jusqu’ici de la distinguer de l’application d’où elle provient. La somme de contrôle (checksum) n’est plus la même, mais les utilisateurs ne contrôlent que très rarement ce type d’information.

Dans un premier temps, le ransomware ne fait en effet absolument rien. Il reste sagement tranquille pendant les quatre premières heures. L’application fonctionne normalement et l’exécution des barrières de sécurité, comme celles de Google et des antivirus, n’y voient que du feu. Une fois le délai écoulé, la fausse application se met à réclamer en boucle des droits administrateurs : changement de code de déverrouillage, surveillance des tentatives de déverrouillage, verrouillage de l’écran, ajout d’une expiration sur le code, etc.

Pour une poignée de roubles

À ce stade, l’utilisateur a de bonnes chances de se douter que quelque chose cloche dans son appareil. Mais annuler la demande ne fait que la répéter en boucle. Selon ZScaler, il y a des chances que la victime finisse par accepter pour retrouver l’usage de son téléphone. Mais cette acceptation déclenche immédiatement les hostilités : chiffrement des données, réclamation d’une rançon et panneau d’explications.

Dans ces dernières, les pirates – qui s’expriment exclusivement en russe – réclament 500 roubles, soit environ 8,3 euros. Une somme faible qui doit inciter évidemment les utilisateurs à payer. Ils sont invités à se rendre sur le premier terminal de paiement Qiwi Wallet qu’ils trouveront pour le configurer via un numéro de téléphone et un code.

Totalement trompeur et néfaste

Tout est fait pour que l’utilisateur paye rapidement, pressé de retrouver ses données. Le ransomware n’est cependant que tromperie. Par exemple, les explications indiquent que la victime a 12 heures pour payer, sans quoi il expédiera à l’ensemble des contacts un message leur expliquant qu’elle aime à regarder des contenus pornographiques illégaux. En l’état selon ZScaler, on ne sait pas vraiment si les pirates sont en capacité de mettre menace à exécution.

D’autre part, peu importe la vitesse à laquelle l’utilisateur paiera : le ransomware n’est équipé d’aucune fonction de déchiffrement. Aucun code ne sera envoyé et les données doivent être considérées comme perdues si elles n’existent pas ailleurs. À ce stade, la seule procédure efficace semble être de redémarrer l’appareil en mode sans échec, Google disposant d’une fiche de support à ce sujet. De là, il pourra supprimer normalement l’application récalcitrante, après lui avoir retiré ses droits administrateurs.

Des techniques marquant une évolution dans les tendances

Pour les chercheurs de ZScaler, le ransomware est surtout intéressant pour la somme des techniques qu’il embarque et qui représente une certaine forme de synthèse.

Le code injecté est ainsi décrit comme « largement obscurci », ce qui rend sa lecture difficile. Toutes les communications entre le malware et son serveur de contrôle sont par ailleurs chiffrées via AES. Par ailleurs, tous les noms de classes, de méthodes et de variables sont trafiqués « de manière à ce qu’il soit extrêmement difficile de comprendre le code ». Une majorité de méthodes sont en outre invoquées par réflexion Java, leur permettant d’éviter la détection par analyse statique.

Mais puisque la plupart des antivirus rassemblent des analyses statiques et dynamiques, on retrouve ici le délai de quatre heures mentionné plus haut. Le logiciel de protection exécute un échantillon de l’application visée et détermine si elle est nocive ou pas. Dans le cas présent, puisque le ransomware est inactif, aucune fonctionnalité néfaste n’est détectée. ZScaler estime même qu’un tel rassemblement de techniques pourrait permettre aux pirates de proposer leurs applications vérolées directement sur le Play Store.

Il y a quelques jours, Google a d’ailleurs indiqué que ce type de menace restait possible, puisque le risque zéro n’existe pas. L’éditeur d’Android a cependant indiqué que le risque était décuplé dès lors que l’on sortait du Play Store : 0,00001 % sur la boutique officielle, contre 0,01 % sur les tierces. Google note à ce propos qu’en dépit des attaques croissantes par malwares, elles restent rares, toutes proportions gardées.