Capacités de ransomware ajoutées au malware Android «Lucy»

Un ransomware Android utilise une tactique de scareware pour extorquer de l’argent aux victimes: il leur demande de fournir leurs informations de carte de crédit pour payer une «amende», révèle Check Point.

Surnommé Black Rose Lucy, ou simplement Lucy, le programme malveillant a été initialement découvert en 2018 en tant que botnet Malware-as-a-Service (MaaS) et compte-gouttes pour les appareils Android. Depuis lors, la menace a évolué avec des capacités qui lui permettent de crypter des fichiers et de reprendre l’appareil de la victime.

Après avoir été téléchargée sur un smartphone, Lucy crypte les fichiers et affiche une note de rançon dans la fenêtre du navigateur, affirmant que le FBI a des preuves de matériel pornographique stocké sur l’appareil et exigeant qu’une amende de 500 $ soit payée.

La note affirme également que les coordonnées de la victime ont été téléchargées dans le centre de données du Département de la cybercriminalité du FBI et demande les informations de carte de crédit de l’utilisateur.

Check Point a identifié plus de 80 échantillons associés à la nouvelle variante Lucy, distribués via des liens de médias sociaux et des applications de messagerie instantanée, se présentant comme un programme de lecteur vidéo inoffensif.

Une fois installé, Lucy affiche un faux message demandant à l’utilisateur d’activer Streaming Video Optimization (SVO). Le message est destiné à inciter l’utilisateur à fournir au logiciel malveillant les autorisations nécessaires pour utiliser le service d’accessibilité de l’appareil.

Armé des nouvelles autorisations, le logiciel malveillant peut s’octroyer des privilèges d’administrateur sur l’appareil, puis poursuivre ses activités malveillantes sans entrave.

Lucy peut effectuer diverses opérations en fonction des commandes reçues du serveur de commande et de contrôle (C&C), telles que passer des appels téléphoniques, répertorier les répertoires de l’appareil et les applications installées, ouvrir un shell distant sur l’appareil, afficher un message indiquant que le paiement a été refusé et se supprimant.

Le malware crypte également les fichiers ciblés, vérifie si le cryptage a réussi, puis affiche à la victime la note de rançon susmentionnée, qui comprend une liste des infractions légales …