Une vague de spam ciblant les utilisateurs Android et contenant un fichier .apk malveillant a été détectée par les Laboratoires Antispam de Bitdefender – plus de 15 000 e-mails de spam incluant ce ransomware ont été recensés. Les adresses d’envoi utilisées peuvent inclure des domaines en .edu, .com, .org et .net.

Ressemblant à une notification du FBI suite à la consultation de pornographie illégale ce ransomware vous réclame 450 euros pour retrouver l’accès à votre téléphone.

Dans l’exemple ci-dessus, le fichier .apk semble être une mise à jour Adobe Flash Player. A l’exécution, le malware télécharge et installe un lecteur vidéo, en apparence totalement sain. Mais si l’utilisateur lance l’application, un message d’erreur apparait.

En appuyant sur « Ok », le message est remplacé par un faux avertissement du FBI qui bloquera l’écran. Le message indique que votre appareil est bloqué pour consultation de pornographie illégale. Pour justifier le blocage, l’écran affiche une soi-disant capture d’écran de votre historique.

Le message est d’autant plus alarmant car il prétend détenir des photos vous appartenant ainsi que votre géo-localisation. De plus, il mentionne le fait d’avertir vos proches et votre réseau professionnel sur vos activités illégales.

Sauf, bien sûr, si vous payez la rançon de 450 euros (500 dollars) via PayPal ou Money Pak, afin de faire disparaitre l’écran de blocage et reprendre possession de votre appareil.

L’avertissement précise également que si vous tentez de reprendre possession de votre appareil d’une autre manière qu’en réglant l’amende demandée, la tentative échouera et le montant s’élèvera alors à 1350 euros (1500 dollars).

Bitdefender détecte ce ransomware en tant que Android.Trojan.SLocker.DZ. C’est l’une des familles de ransomwares Android les plus redoutables car les auteurs créent régulièrement de nouvelles versions.

Se protéger contre les ransomwares Android

Malheureusement, une fois infecté, il n’y a pas grand-chose à faire, en particulier si la variante du ransomware chiffre vos données (on parle alors d’un cryptoware). Les boutons du smartphone deviennent inopérants, et redémarrer l’appareil ne sert à rien puisque le ransomware se lance au démarrage.

Dans certaines circonstances, les utilisateurs Android peuvent parvenir à désinstaller le ransomware si l’outil ADB (Android Debug Bridge) est installé.

Si l’appareil permet le « Safe Boot » (l’équivalent du Mode Sans Echec de Windows), c’est également une chance pour l’utilisateur de reprendre possession de l’appareil, puisque le système démarre alors avec le minimum requis, ce qui permet de désinstaller le malware.

Dans tous les cas, la prévention est la meilleure défense contre les ransomwares Android. Voici quelques recommandations :

• N’installez aucune application de source inconnue. Android bloque par défaut l’installation depuis des sources inconnues, mais certains stores tiers nécessitent la désactivation de cette option. Prenez garde à ce que vous installez depuis un store non-officiel !
• Réalisez des sauvegardes régulières dans le cloud ou sur un support externe.
• N’ouvrez pas de pièce jointe suspecte d’un e-mail inconnu et évitez les sites Web douteux (cette règle est également valable sur Windows et Mac !).
• Utilisez un filtre pour réduire le nombre de spam dans votre boite e-mail.
• Enfin, utilisez une solution antimalware pour votre Android et maintenez-là à jour.

Cet article a été écrit à partir des informations fournies par Adrian Miron, chercheur antispam senior chez Bitdefender et Alin Barbatei et Vlad Ilie, chercheurs en malwares chez Bitdefender.