Sécurité mobile, COVID‑19 et CryCryptor: Entretien avec Lukas Stefanko | WeLiveSecurity

Sécurité mobile, COVID‑19 et CryCryptor: Entretien avec Lukas Stefanko

Lukas Stefanko, chercheur en logiciels malveillants d'ESET, nous parle des coulisses de son analyse du rançongiciel CryCryptor et replace la menace dans un contexte plus global.

Lukas Stefanko, chercheur en logiciels malveillants d’ESET, nous parle des coulisses de son analyse du rançongiciel CryCryptor et replace la menace dans un contexte plus global.

La pandémie COVID-19 a modifié notre façon de travailler et, dans de nombreux cas, notre façon d’interagir avec nos proches. Alors qu’un certain nombre de gouvernements envisagent d’utiliser la recherche des contacts pour endiguer la propagation du virus, les cybercriminels ont mis au point une série d’astuces pour tirer parti de la situation, non seulement par des escroqueries de toutes sortes, mais aussi par des attaques de rançongiciel.

Lukas Stefanko, chercheur en logiciels malveillants d’ESET, a récemment analysé une nouvelle famille de rançongiciels se présentant comme une application de recherche de contacts développée par l’agence canadienne de santé, Santé Canada. En plus des détails techniques sur ce rançongiciel, appelé CryCryptor, ESET a fourni un outil de déchiffrement, afin que les victimes puissent récupérer leurs données.

Nous avons rencontré Lukas pour parler des tenants et aboutissants de CryCryptor et de la comparaison de cette famille de rançongiciels avec d’autres menaces auxquelles sont confrontés les utilisateurs d’Android, et pas seulement pendant la pandémie.

Salut Lukas, merci de vous joindre à nous. Tout d’abord, pouvez-vous nous présenter la découverte et l’analyse de CryCryptor?

Bonjour, merci de me recevoir. Je dois dire que j’ai eu de la chance, car je l’ai découvert par hasard en parcourant Twitter plus tôt dans la journée. Il a été posté par des chercheurs de logiciels malveillants, qui ont affirmé qu’il s’agissait d’une menace bancaire Android. C’était logique, car il s’agit d’une façon populaire d’utiliser abusivement COVID-19 et de distribuer des logiciels malveillants de type chevaux de Troie bancaire. Cependant, comme je le fais en général, j’ai vérifié ces affirmations. Même à première vue, l’application ne ressemble pas à un logiciel malveillant bancaire typique. C’est ce premier indice qui a conduit à l’identification d’une nouvelle famille de rançongiciels Android.

Vous avez mentionné dans l’article qu’un chercheur de logiciels malveillants sur Twitter avait confondu CryCryptor avec un cheval de Troie bancaire. Cela suggère une certaine ressemblance technique entre le rançongiciel et les chevaux de Troie bancaires. Comment les compareriez-vous?

Les fabricants de chevaux de Troie bancaires Android ont largement abusé de la situation causée par la pandémie, en distribuant les menaces via de faux sites web qui se font passer pour des traqueurs COVID-19, des applications gouvernementales, des identificateurs de symptômes de coronavirus, des applications de compensation des pertes financières, de fausses applications Zoom et autres. Nous avons assisté à des dizaines de tentatives de ce type. Cependant, la distribution de rançongiciels n’était pas répandue.

LECTURE COMPÉMENTAIRE : Naviguer dans les eaux troubles des logiciels malveillants bancaires Android

Comparons l’impact des chevaux de Troie bancaires Android et des rançongiciels Android. La plupart des chevaux de Troie bancaires, une fois installés, demandent à la victime de faire des activités supplémentaires pour accéder à ses fonds. Ils peuvent par exemple demander à l’utilisateur de se connecter à une fausse page de connexion bancaire, avant de voler les codes d’authentification à deux facteurs s’ils sont configurés. Il n’y a pas de telles étapes supplémentaires avec les rançongiciels; il suffit de lancer l’application et les fichiers seront chiffrés.

Une caractéristique particulière de ce rançongiciel est qu’il ne verrouille pas l’appareil lui-même, mais chiffre plutôt tous les fichiers sur un stockage externe et affiche une alerte à la victime pour l’informer que ses fichiers ont été chiffrés. Lorsque j’ai lu votre article pour la première fois, j’ai été assez surprise de constater que le fichier readme_now.txt n’exige pas de rançon spécifique. Cela est-il courant?

L’attaquant peut également verrouiller l’appareil. C’est cependant plus difficile sur la dernière version d’Android; le développeur du logiciel malveillant doit désormais faire bien plus d’efforts pour mettre en place une telle fonctionnalité, mais ce n’est pas impossible. En outre, il n’est pas courant de ne pas indiquer un montant de rançon spécifique à payer pour déchiffrer les fichiers en retour, car cela requiert une étape supplémentaire pour l’attaquant. De plus, les victimes pourraient changer d’avis pendant cette étape supplémentaire et refuser de payer.

Trop souvent, nous entendons parler de rançongiciels sans aucune clé de déchiffrement, même de la part de l’attaquant. Il est intriguant de constater qu’un bogue dans le logiciel malveillant a rendu possible le développement d’un outil de déchiffrement. Pouvez-vous nous en dire plus sur la façon dont vous avez développé l’outil de déchiffrement?

Nous avons eu beaucoup de chance! Après avoir analysé un rançongiciel, je pense toujours à un moyen possible de créer soit un déchiffreur, au cas où la clé de chiffrement ne serait pas générée au hasard, soit un outil de déchiffrement. Lorsque j’ai fait une rapide analyse de vulnérabilité de ce rançongiciel, j’ai identifié une erreur qui, une fois correctement exploitée, pourrait déclencher une fonctionnalité de déchiffrement même sans connaître la clé de chiffrement. Lorsque je l’ai testé, il fonctionnait parfaitement. Ainsi, en quelques minutes, j’ai créé un outil de déchiffrement pleinement fonctionnel.

Au fil des ans, vous êtes devenu un expert des menaces qui pèsent sur les appareils Android. Quelles sont les menaces qui, selon vous, vont gagner en importance dans un avenir proche, qu’il s’agisse d’exploits ciblant des vulnérabilités ou d’applications malveillante

Les vulnérabilités sont principalement exploitées dans le cadre d’attaques ciblées, de sorte que la vulnérabilité n’est pas exposée à un large public. Les acteurs malveillants évitent ainsi que les chercheurs en sécurité ou en logiciels malveillants découvrent cette vulnérabilité et avertissent le développeur, qui pourrait le corriger et les empêcher de l’exploiter. En ce qui concerne la prévalence des logiciels malveillants, les chevaux de Troie bancaires Android restent très populaires – j’ai vu de nombreux nouveaux chevaux de Troie vendus sur des forums clandestins. Les logiciels publicitaires et les applications de fraude publicitaire constituent une autre menace courante, car ils ne demandent pas de contribution supplémentaire aux utilisateurs pour utiliser leur téléphone à mauvais escient et générer des revenus pour l’agresseur.

Quel conseil voudriez-vous donner aux utilisateurs d’Android concernant la sécurité des applications?

Avant tout, ne téléchargez les applications que sur la boutique officielle Google Play Store, utilisez un système d’exploitation et des applications Android à jour, et utilisez une solution de sécurité Android à jour et réputée, afin d’assurer la sécurité de votre smartphone.

Merci encore Lukas.

Infolettre

Discussion