Une faille dans le navigateur Safari mobile a été exploitée par des cybercriminels et utilisée pour extorquer de l’argent à des individus qui ont déjà utilisé leur appareil mobile pour regarder de la pornographie ou d’autres contenus illégaux.
Comment fonctionne le Scareware utilisé contre Safari ?
Le scareware empêche l’utilisateur du navigateur Safari d’accéder à Internet sur son appareil et charge une série de messages popup.
Un popup s’affiche pour informer l’utilisateur que Safari ne peut pas ouvrir la page demandée.
Cliquer sur « OK » pour fermer le message déclenche un autre avertissement popup.
Safari est alors verrouillé dans une boucle sans fin de messages popup qui ne peuvent pas être fermés.
Un message s’affiche en arrière-plan indiquant que l’appareil a été verrouillé, car il a été découvert que l’utilisateur avait consulté un contenu Web illégal.
Certains utilisateurs ont signalé des messages contenant des bannières d’Interpol, dont le but est de faire croire à l’utilisateur que la serrure a été placée sur son téléphone par les forces de l’ordre.
La seule façon de déverrouiller l’appareil, selon les messages, est de payer une amende.
L’un des domaines utilisés par les attaquants est police-pay.com.
Cependant, peu d’utilisateurs seraient probablement trompés en pensant que le verrouillage du navigateur avait été mis en place par un service de police, car l’amende devait être payée sous la forme de carte-cadeau iTunes.
D’autres messages ont menacé l’utilisateur d’une action de la police si le paiement n’est pas effectué.
Dans ce cas, les attaquants ont affirmé qu’ils enverront l’historique de navigation de l’utilisateur et les fichiers téléchargés à la Metropolitan Police.
Cette campagne de scareware sur Safari n’est pas nouvelle, bien que la vulnérabilité « zero day » qui a été exploitée pour afficher les messages l’était.
Les attaquants ont chargé du code sur un certain nombre de sites Web, exploitant ainsi une vulnérabilité dans la façon dont le navigateur Safari gère les fenêtres pop-up JavaScript. Le code visait les versions 10.2 et antérieures d’iOS.
La campagne scareware sur Safari a récemment été découverte par Lookout qui a transmis les détails du kit d’exploitation à Apple le mois dernier.
Apple vient de publier une mise à jour de son navigateur pour empêcher l’attaque de se produire.
Les utilisateurs peuvent donc protéger leurs appareils contre une telle menace en mettant à jour leurs navigateurs avec la version 10.3 d’iOS.
Quelle est la différence entre un scareware et un ransomware ?
Les scarewares sont différents des ransomwares, bien que les deux soient utilisés pour extorquer de l’argent.
Dans le cas d’un ransomware, l’accès à un dispositif est obtenu par l’attaquant et un malware de chiffrement de fichiers est téléchargé.
Ce malware verrouille alors les fichiers des utilisateurs à l’aide d’un chiffrement puissant.
Si une sauvegarde des fichiers chiffrés n’appartient pas à l’utilisateur, ce dernier risque de perdre des données, sauf s’il paie les attaquants pour qu’ils déchiffrent les fichiers verrouillés.
Les scarewares peuvent impliquer des malwares, bien que le plus souvent — comme ce fut le cas pour cette campagne sur Safari — il s’agit de codes malveillants sur des sites Web.
Le code est exécuté lorsqu’un utilisateur doté d’un navigateur vulnérable visite une page Web infectée.
L’idée derrière le scareware est d’effrayer l’utilisateur final pour qu’il paie la rançon demandée afin de déverrouiller son appareil.
Contrairement aux attaques par ransomwares, qui ne peuvent être déverrouillés sans une clé de déchiffrement, il est généralement possible de déverrouiller les navigateurs verrouillés par un scareware avec un peu de savoir-faire informatique.
Pour notre cas, le contrôle du téléphone pouvait être récupéré en vidant le cache du navigateur Safari.