La dernière variante de WannaLocker est un cheval de Troie bancaire, un logiciel espion (spyware) et un ransomware.
WannaLocker, un sosie du tristement célèbre rançongiciel WannaCry, est devenu un peu plus dangereux.
Les chercheurs d’Avast ont signalé cette semaine avoir observé une nouvelle version du logiciel malveillant qui associe l’interface utilisateur de WannaCry à de nouveaux logiciels espions, à un cheval de Troie bancaire et à des fonctions d’administration à distance.
La menace à trois volets, que le fournisseur de sécurité appelle WannaHydra, cible actuellement les utilisateurs de quatre grandes banques au Brésil. Mais s’il décolle, le malware pourrait s’avérer être un problème majeur pour les utilisateurs d’Android partout dans le monde, a déclaré Avast.
WannaLocker est apparu en juin 2017 à peu près au même moment que WannaCry. Avast a tout d’abord constaté qu’il ciblait des utilisateurs de forums de jeu chinois déguisés en plug-in d’un jeu populaire.
Une fois installé, le logiciel malveillant a chiffré certains fichiers stockés sur le stockage externe de l’appareil tout en laissant intacts d’autres fichiers, notamment des fichiers d’une taille inférieure à 10 Ko et des fichiers contenant “DCIM” ou “télécharger” sur son chemin, Avast à l’époque. Il a ensuite demandé une rançon de 40 renminbi (environ 5,80 dollars actuellement) pour la clé de déchiffrement. Le logiciel malveillant Trend Micro est une variante de SLocker, l’un des premiers outils de ransomware connus, doté d’une interface graphique à copier de WannaCry.
La dernière version de WannaLocker fonctionne en présentant aux utilisateurs des quatre applications bancaires ciblées un faux message les invitant instamment à se connecter à leurs comptes pour résoudre certains problèmes liés aux comptes. Une fois installé, le logiciel malveillant recueille diverses informations, notamment le nom du fabricant du périphérique et d’autres informations sur le matériel, le numéro de téléphone, les messages texte, le journal des appels, les photos, la liste de contacts, les données audio du microphone et les informations de localisation GPS.
Comme les souches précédentes, la dernière version de WannaLocker permet de chiffrer des fichiers sur le stockage externe du périphérique Android infecté. Mais cette fonctionnalité particulière semble encore être un travail en cours, a déclaré Avast.
“Le nouveau logiciel malveillant, WannaHydra, partage la même interface utilisateur (que WannaCry) dans son module contre les ransomwares, mais contient davantage de fonctionnalités, notamment des logiciels espions et un cheval de Troie bancaire”, déclare Nikolaos Chrysaidos, chercheur en menaces mobiles à Avast.
“Il a des capacités assez étendues pour collecter des informations et pourrait être utilisé pour extraire des informations personnelles et financières en plus de la fourniture du logiciel de ransomware”, a-t-il déclaré. Il ne sait pas cependant combien d’argent, le cas échéant, les assaillants pourraient demander comme rançon, note-t-il.
WannaHydra semble être encore en développement, donc des fonctionnalités supplémentaires pourraient être ajoutées ou en partie supprimées à une date ultérieure, ajoute-t-il. De tels logiciels malveillants mobiles représentent généralement une menace plus importante pour les utilisateurs d’Android, car les pirates continuent de trouver plus facile de diffuser du code malveillant sur Android que sur les appareils iOS, explique-t-il.
“Dans ce cas, l’attaque vise les utilisateurs au Brésil, mais tout le monde peut être victime d’un malware mobile”, a-t-il averti. C’est pourquoi il est important pour les utilisateurs d’Android de ne télécharger que les applications de développeurs de confiance dans des magasins d’applications certifiés tels que Google Play.
Sam Bakken, responsable du marketing produit chez OneSpan, fournisseur de cybersécurité, déclare qu’il est fort probable que la fonctionnalité de ransomware de la nouvelle variante WannaLocker elle-même existe en tant qu’option de secours dans les cas où un appareil infecté n’a peut-être pas installé l’application de l’un des quatre banques. “Ce serait alors retomber sur l’attaque de ransomware”, dans ces situations, dit-il.
Les utilisateurs d’Android doivent s’assurer qu’ils utilisent la version la plus récente du système d’exploitation possible, note Bakken. Cela peut souvent être difficile, car les utilisateurs d’Android sont souvent liés aux calendriers de mise à niveau du système d’exploitation de leur fabricant de périphérique ou de leurs fournisseurs de services de téléphonie mobile, explique-t-il.
En outre, même lors du téléchargement d’applications depuis la boutique officielle de Google, les utilisateurs doivent s’assurer du nombre de téléchargements de l’application et accorder une attention particulière aux critiques négatives, conseille Bakken.
Pour en savoir plus: https://www.miroir-mag.fr/actualites-high-tech/le-nouveau-logiciel-malveillant-wannahydra-une-triple-menace-pour-android/