Android : un ransomware nouvelle génération indétectable par les protections antivirales

Le par  |  2 commentaire(s) Source : Neowin
malware_Android_BT-GNT

Des chercheurs en sécurité ont récemment annoncé avoir mis la main sur un nouveau Ransomware qui aurait la particularité d'officier sous Android et de passer outre la détection antivirus.

C'est l'équipe de recherche de Zcaler ThreatLabz qui a mis en évidence un nouveau ransomware pour l'instant uniquement orienté vers le marché Russe. Si ce ransomware fait parler de lui aujourd'hui, c'est parce qu'il multiplie les originalités : d'une part, il est exclusivement orienté vers Android, d'autre part il est capable de passer sous les radars de tous les logiciels antivirus connus, enfin, il n'intègre aucun module de décryptage ce qui fait que même si l'utilisateur paie la rançon lui étant demandée, il ne pourra jamais récupérer l'accès à ses données.

Ransomware Android Admin

Selon les experts, le ransomware est diffusé à travers des applications tierces propagées elles-mêmes sur les marchés alternatifs. Cela implique donc le téléchargement d'un fichier APK et le déverrouillage de l'installation des applications non signées du côté de l'utilisateur. Aucun risque donc pour celles et ceux qui se cantonnent au Play Store.

Intégré à une application fonctionnelle, le ransomware patienterait plusieurs heures avant de mettre son module en marche. L'application fonctionne normalement, n'éveillant aucun soupçon et finit par demander à l'utilisateur de lui accorder les droits d'administrateur, la demande revenant systématiquement jusqu'à ce que ce dernier accepte. Une fois l'accès autorisé, le ransomware prend le relais et change le code de verrouillage de l'appareil ainsi que son écran, il verrouille même les tentatives de déverrouillage.

Ransomware Android Russie

L'écran de déverrouillage affiche alors un message en Russe demandant le versement de 500 roubles pour récupérer l'accès au terminal. Le message menace même d'envoyer un message à tous les contacts de la victime en se faisant passer pour elle en train de consulter des sites pornographiques. Selon les chercheurs, il s'agirait ici d'un coup de bluff, rien dans le code du ransomware ne lui permet de mettre sa menace en place.

La seule façon d'en finir avec ce ransomware est de relancer Android en mode sécurité, supprimer les droits d'administrateur de l'application et désinstaller l'application incriminée.

Ce type de ransomware pourrait préfigurer d'une nouvelle tendance sur le marché.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1960091
L'article d'origine pour comprendre plus clairement : https://www.zscaler.com/blogs/research/new-android-ransomware-bypasses-all-antivirus-programs
En fait l'application ne crypte rien du tout. Elle ne fait qu'une chose : rester lancée perpétuellement, empêchant d'utiliser le smartphone. Même quand on a payé.
En désinstallant l'application, on retrouve un téléphone fonctionnel comme avant.

Le #1960108
"et finit par demander à l'utilisateur de lui accorder les droits d'administrateur, la demande revenant systématiquement jusqu'à ce que ce dernier accepte. "

C'est là qu'il faut se dire qu'il y a un truc qui va pas et qu'il faut agir
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]