Simplocker, un ransomware sophistiqué pour Android découvert

Plusieurs spécialistes de la sécurité l’avaient évoqué récemment, la prochaine cible des ransomware sera la mobilité. Ils indiquaient qu’il s’agit d’une question de temps. Une première tentative avait été trouvée par Symantec à travers une fausse application d’antivirus et le verrouillage de l’écran. Mais l’éditeur de solutions de sécurité Eset vient de découvrir un malware nommé Simplocker particulièrement menaçant et techniquement élaboré.

Le modus operandi du malware a été détaillé par l’éditeur sur son blog. Ce logiciel scanne certains fichiers (jpeg , jpg , png , bmp , gif , pdf , doc, docx , txt , avi , mkv , 3gp , mp4) présents sur la carte SD du terminal Android et les chiffre en AES-256. Le malware est commandé à distance par un serveur de commande et contrôle hébergé dans le réseau d’anonymisation Tor. Il demande ensuite une certaine somme pour déverrouiller les données. On notera que la demande de rançon est écrite en russe et que le montant est de 260 UHA monnaie Ukrainienne  qui représente 16 euros. Le paiement se fait via un kiosque, MoneXy.  Pour nos confrères de The Register, c’est beaucoup moins que les 300 euros demandés pour déverrouiller des PC infectés par Cryptolocker.

Sur le mode de propagation, l’éditeur indique que le malware était intégré dans une application « Sex Ionix » qui n’est pas référencé dans Google Play. Selon Eset, ce logiciel s’apparenterait plus à un proof of concept (preuve de faisabilité) notamment dans la manière de chiffrement qui n’est pas encore au niveau de Cryptolocker cité précédemment. Il n’en demeure pas moins que Simplocker montre que les cybercriminels sont prêts et avancent dans l’élaboration de ransomware particulièrement dangereux.

Lire également
Le nombre de malwares Android a explosé en 2013
550 millions de données personnelles dérobées en 2013