Virus gendarmerie sur Android ( Koler,Browlock, etc )

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92751
Inscription : 10 sept. 2005 13:57
Contact :

Virus gendarmerie sur Android ( Koler,Browlock, etc )

Message par Malekal_morte » 05 mai 2015 14:30

Suite des aventures Koler sur Android et Browlock sur Android des familles Android Locker.

Deux campagnes ont visés la France aujourd'hui, alors que ce malware visait plutôt les USA dernièrement (voir Index of Android Locker jusque là) :
https://twitter.com/malekal_morte/statu ... 4093326336
https://twitter.com/malekal_morte/statu ... 2595859456
(peut-être d'autres).

Des Trojans Banker utilisent aussi ces techniques de propositions d'APK se faisant passer pour Flash ou applications pornographiques, voir Trojan-Banker SpyLocker.

Le rançongiciel ou "ransomware" en anglais a été traduit en Français (avec une mauvaise traduction).
Comme d'habitude, cela commence par les USA (plus gros marché) puis d'autres pays sont visés par la suite.
D'ici un an, ce malware devrait être porté en Allemand, Espagnol etc, comme l'a été le virus gendarmerie visant les PC.

Une page virus gendarmerie sur Android / Mobile a été crée sur supprimer-virus.com : virus gendarmerie sur Android / Mobile

Image

Plus d'informations sur notre dossier : Ransomware Trojan.Winlock : Virus Gendarmerie


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92751
Inscription : 10 sept. 2005 13:57
Contact :

Re: virus gendarmerie sur Android (Koler etc)

Message par Malekal_morte » 25 août 2015 14:30

J'avais un peu lâché l'affaire et les campagnes Koler/Browlock sont de retour.

Quelques sujets sur le site commentcamarche.net :
Android_Locker_virus_gendarmerie_tablette_phone.png
virus gendarmerie sur Android (Koler etc)
5 réseaux publicitaires sur les sites pornographiques touchés :
Ce ne sont pas les plus gros mais combiné, le traffic obtenu est loin d'être négligeable.

A noter aussi que les mobiles Apple ont été aussi touchés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92751
Inscription : 10 sept. 2005 13:57
Contact :

Re: Android/Lockerpin.A

Message par Malekal_morte » 12 sept. 2015 15:08

Les Android Locker / Ransomware Android continue de pousser et notamment aux USA.

Zscaler signale qu'un des Android Locker prend maintenant une photo de la personne pour l'afficher sur la page de blocage.
D'après l'URL, il semble que ce soit le même malware que dans la première capture d'écran que j'ai donnée plus haut.
La manière d'opérer est aussi un peu différente, dans le passé, l'APK installait la partie ransomware, maintenant, l'APK va télécharger un autre APK qui installe la partie ransomware.

De son côté, ESET publie une actualité sur une campagne agressive aux USA pour un nouveau ransomware : Android/Lockerpin.A
Ce dernier affiche aussi une page de blocage mais change le code PIN du téléphone.

Tous ces Ransomwares se propagent par des publicités malicieux, notamment sur les sites pour adultes, qui redirige vers des pages WEB proposant de télécharger un APK.
Si l'internaute l'installe, l'infection s'installe.

Image

Il y a effectivement un retour depuis fin Août : https://twitter.com/search?q=locker%20f ... e&src=typd
On retrouve les mêmes réseaux : Adsterra, Popcash, ClickAdu et parfois ero-advertising :

Image

Image

Image

Image

Image

A noter que les malvertising ClickAdu touche parfois la France, quelques sujets
"virus gendarmerie sur mon téléphone"
"virus police sur mon android"
"virus police ipad"
etc

Image

Avec du Browlock qui touche aussi les mobiles Apple (Iphone / Ipad) de temps en temps : https://twitter.com/malekal_morte/statu ... 1832087552

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92751
Inscription : 10 sept. 2005 13:57
Contact :

Re: virus gendarmerie sur Android (Koler etc)

Message par Malekal_morte » 22 sept. 2015 10:27

La variante Koler continue d'être améliorée. Un menu a maintenant été ajouté qui liste les appels téléphoniques effectués, les SMS envoyés, etc. Le but est toujours de faire peur et de se faire passer pour les autorités afin que la personne mette la main au portemonnaie.

Ces dernières variantes sont surtout présentes aux USA :
https://twitter.com/malekal_morte/statu ... 3903122432
https://twitter.com/malekal_morte/statu ... 9317872640

Image

Image

Les images pornographiques prétendument découvertes sur l'appareil :

Image

Un texte du FBI est affiché, la rançon est généralement de 500$

Image

Image

La partie paiement par Paypal :

Image

Au niveau du code...

Le menu, le nom de class parle d'elle-même :
Image

La récupération de l'historique de navigation
Image

Image

Les appels téléphoniques :

Image

Exemple de détections :
SHA256: 1d7d3835c9bbf839310ea1821d07045843bc52750d5ba8e5e64c332a52db7e34
Nom du fichier : video.apk
Ratio de détection : 6 / 55
Date d'analyse : 2015-09-22 15:59:26 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AhnLab-V3 Android-Trojan/Koler.d389 20150922
Cyren AndroidOS/SLocker.B 20150922
DrWeb Android.Locker.184.origin 20150922
ESET-NOD32 a variant of Android/Koler.AC 20150922
F-Prot AndroidOS/SLocker.B 20150922
McAfee Artemis!44991D9924EF 20150922

Autre variante avec rançon fixée à 250 $ :

Image

Image

Image

Image

Exemple de détections :
SHA256: 719da0f2660284ddb09a26a33151ee8423c9ebcd9f6b66899db91f81d728141e
Nom du fichier : PornVideoPlayer.apk
Ratio de détection : 6 / 55
Date d'analyse : 2015-09-22 06:59:10 UTC (il y a 9 heures, 2 minutes)

Antivirus Résultat Mise à jour
Ad-Aware Android.Trojan.SLocker.FO 20150922
Arcabit Android.Trojan.SLocker.FO 20150922
BitDefender Android.Trojan.SLocker.FO 20150922
ESET-NOD32 Android/Locker.EW 20150922
GData Android.Trojan.SLocker.FO 20150922
MicroWorld-eScan Android.Trojan.SLocker.FO 20150922
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92751
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus gendarmerie sur Android ( Koler,Browlock, etc )

Message par Malekal_morte » 29 janv. 2016 13:42

Symantec a publié une news concernant une détection Android.Lockdroid.E : http://www.symantec.com/connect/blogs/a ... inistrator

Comme évoqué plus haut avec Android/Lockerpin.A, cette variante change le code PIN et d'après Symantec chiffre les documents comme le font les Crypto-Ransomware.

Ce dernier est distribué à travers de fausses applications pornographiques.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »