Une vague de spam ciblant les utilisateurs Android et contenant un fichier .apk malveillant a été détectée par les Laboratoires Antispam de Bitdefender – plus de 15 000 e-mails de spam incluant ce ransomware ont été recensés. Les adresses d’envoi utilisées peuvent inclure des domaines en .edu, .com, .org et .net.
Ressemblant à une notification du FBI suite à la consultation de pornographie illégale ce ransomware vous réclame 450 euros pour retrouver l’accès à votre téléphone.
Dans l’exemple ci-dessus, le fichier .apk semble être une mise à jour Adobe Flash Player. A l’exécution, le malware télécharge et installe un lecteur vidéo, en apparence totalement sain. Mais si l’utilisateur lance l’application, un message d’erreur apparait.
En appuyant sur « Ok », le message est remplacé par un faux avertissement du FBI qui bloquera l’écran. Le message indique que votre appareil est bloqué pour consultation de pornographie illégale. Pour justifier le blocage, l’écran affiche une soi-disant capture d’écran de votre historique.
Le message est d’autant plus alarmant car il prétend détenir des photos vous appartenant ainsi que votre géo-localisation. De plus, il mentionne le fait d’avertir vos proches et votre réseau professionnel sur vos activités illégales.
Sauf, bien sûr, si vous payez la rançon de 450 euros (500 dollars) via PayPal ou Money Pak, afin de faire disparaitre l’écran de blocage et reprendre possession de votre appareil.
L’avertissement précise également que si vous tentez de reprendre possession de votre appareil d’une autre manière qu’en réglant l’amende demandée, la tentative échouera et le montant s’élèvera alors à 1350 euros (1500 dollars).
Bitdefender détecte ce ransomware en tant que Android.Trojan.SLocker.DZ. C’est l’une des familles de ransomwares Android les plus redoutables car les auteurs créent régulièrement de nouvelles versions.
Malheureusement, une fois infecté, il n’y a pas grand-chose à faire, en particulier si la variante du ransomware chiffre vos données (on parle alors d’un cryptoware). Les boutons du smartphone deviennent inopérants, et redémarrer l’appareil ne sert à rien puisque le ransomware se lance au démarrage.
Dans certaines circonstances, les utilisateurs Android peuvent parvenir à désinstaller le ransomware si l’outil ADB (Android Debug Bridge) est installé.
Si l’appareil permet le « Safe Boot » (l’équivalent du Mode Sans Echec de Windows), c’est également une chance pour l’utilisateur de reprendre possession de l’appareil, puisque le système démarre alors avec le minimum requis, ce qui permet de désinstaller le malware.
Dans tous les cas, la prévention est la meilleure défense contre les ransomwares Android. Voici quelques recommandations :
Cet article a été écrit à partir des informations fournies par Adrian Miron, chercheur antispam senior chez Bitdefender et Alin Barbatei et Vlad Ilie, chercheurs en malwares chez Bitdefender.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024