Nous avons récemment rapporté comment les pirates informatiques abusaient de la pandémie mortelle de coronavirus (COVID-19) à leur avantage en exploitant les cartes de coronavirus pour voler des informations sur les utilisateurs.
Non seulement cela, les cybercriminels ont également utilisé la peur d'une épidémie de coronavirus pour lancer campagnes d'email pour infecter les systèmes des utilisateurs avec des logiciels malveillants.
Exploitant davantage cette situation, une application Android malveillante fait maintenant le tour qui prétend aider à suivre les cas de coronavirus, mais installe plutôt un ransomware et verrouille les utilisateurs hors de leur appareil.
Découvert par la société de renseignement sur les menaces DNS DomainTools, le ransomware nouvellement découvert, surnommé «CovidLock», utilise des techniques pour refuser à la victime l'accès à son téléphone en forçant une modification du mot de passe utilisé pour déverrouiller le téléphone. Ceci est également connu sous le nom d'attaque de verrouillage d'écran et a déjà été vu sur les ransomwares Android.
«Les cybercriminels aiment exploiter les gens lorsqu'ils sont les plus vulnérables. Ils utilisent des événements dramatiques qui font que les gens sont émotifs ou craignent de générer leurs bénéfices », a écrit Tarik Saleh, ingénieur principal en sécurité et chercheur de programmes malveillants chez DomainTools dans un blog récents. «Le coronavirus n'est pas différent. Peu de temps après la confirmation des premiers cas, les chercheurs de DomainTools ont observé une légère augmentation des noms de domaine exploitant Coronavirus et COVID-19. Ces enregistrements ont connu un pic important au cours des dernières semaines et nombre d'entre eux sont des arnaques. »
Le domaine (site coronavirusapp [.]) Et (site coronavirusapp [.] / Mobile.html) prétend disposer d'un outil de suivi des épidémies de coronavirus en temps réel via le téléchargement d'une application.
Le domaine invite les utilisateurs à télécharger une application Android qui leur donnera accès à un traqueur de carte Coronavirus qui semble fournir des informations de suivi et statistiques sur COVID-19, y compris des visuels de carte thermique. En réalité, l'application est équipée d'un ransomware.
Une fois que le ransomware effectue une attaque de verrouillage d'écran, les victimes disposent d'un délai de 48 heures pour payer une rançon de 100 $ en bitcoin pour supprimer le verrou. Ils sont également menacés que leurs contacts, leurs photos, leurs vidéos et la mémoire de leur téléphone soient effacés et que leurs comptes de médias sociaux soient divulgués publiquement.
«Remarque: votre GPS est surveillé et votre position est connue. Si vous essayez quelque chose de stupide, votre téléphone sera automatiquement effacé », affirme l'application ransomware.
Pour les appareils Android Nougat et les versions ultérieures, une protection est en place contre ce type d'attaque. Cependant, cela ne fonctionne que si l'utilisateur a défini un mot de passe. Ceux qui n'ont pas défini de mot de passe sur leur téléphone pour déverrouiller l'écran sont toujours vulnérables au ransomware CovidLock.
Heureusement, DomainTools a procédé à une ingénierie inverse des clés de déchiffrement et publiera la clé publiquement (bien qu'un Redditor ait posté le mot de passe apparent aussi). L'équipe possède également le portefeuille Bitcoin de l'attaquant et surveille les transactions qui lui sont associées.
Pour vous protéger, assurez-vous de télécharger les applications Android uniquement à partir de Google Play Store et non à partir de magasins tiers non approuvés. Aussi, évitez de cliquer sur tout ce qui est lié à la santé dans votre e-mail.
Source : https://www.techworm.net/2020/03/coronavirus-tracking-app-android-lock.html
