Les chercheurs de Microsoft sont inquiets. L'amélioration des rançongiciels pour Android s'est accélérée, et ils pourraient devenir une menace de premier plan pour les utilisateurs de smartphone.

La menace devient de plus en plus sérieuse. Dans un rapport publié le 8 octobre, les chercheurs en cybersécurité de Microsoft s’inquiètent de l’évolution récente des rançongiciels sur Android. Menace numéro 1 pour les ordinateurs et les réseaux d’entreprise, ces malwares particulièrement virulents existent aussi depuis plus de cinq ans sur smartphone. Le plus souvent, ils vont obstruer le fonctionnement du smartphone, puis proposer de lever le blocage contre le paiement d’une somme d’argent, de l’ordre de quelques centaines d’euros. Certains d’entre eux chiffrent les données comme les rançongiciels pour ordinateurs, mais ils sont plus rares.

Jusqu’ici relativement grossiers, les rançongiciels Android deviennent de plus en plus sophistiqués. Pour Microsoft, c’est le signe que les hackers investissent dans leur développement, et qu’ils y trouvent donc un intérêt financier. Autrement dit, ils parviendraient à rançonner avec succès des propriétaires de smartphone, et à réinvestir une partie de leur butin dans l’amélioration de leur malware.

Heureusement, les pirates ne parviennent pas encore à contourner les sécurités du Google Play Store. // Source : Louise Audry pour Numerama

Pour illustrer leurs inquiétudes, les chercheurs de la Defender Research Team se sont penchés sur MalLocker.B, une nouvelle variante d’une famille de rançongiciels bien connue. Plus tenace que ses cousins, il détourne habilement un ensemble de fonctionnalités jusque-là peu exploitées par les hackers.

Notification d’appel et boutons d’accueil détournés

Une fois téléchargé, MalLocker.B va imposer une note de rançon sur l’intégralité de l’écran de sa victime, et va s’assurer que l’utilisateur ne puisse pas quitter cet affichage. Dans l’exemple donné par Microsoft, le message se présente comme un avertissement de la police locale, et requiert le paiement d’une amende, car la victime aurait commis un délit. Les pirates utilisent souvent ce scénario pour les rançongiciels Android et pour certains phishings.

Pour mettre en place le piège, le programme malveillant agit sur deux fonctionnalités, sur lesquelles ZDNet insiste. D’abord, il va détourner la notification d’appel, une fonctionnalité qui se déclenche à chaque fois que l’utilisateur reçoit un coup de fil. Elle affiche des détails sur l’émetteur, comme son nom et son numéro de téléphone, et passe devant tous les programmes du smartphone. MalLocker.B va l’activer en permanence et remplacer son contenu par le faux avertissement de police.

L’utilisateur bloqué n’a pas d’échappatoire

Par souci du détail, les hackers ont même incorporé un petit module de machine learning à cette partie de leur logiciel. Il permet de reconnaître la taille de l’écran — qui peut varier de plusieurs centimètres entre les dizaines de modèles des différentes marques de smartphone Android —  et d’adapter au mieux l’affichage de la note de rançon. Microsoft précise que le module n’est pas activé dans les exemples qu’ils ont observés, et qu’il pourrait avoir été ajouté au code, à titre d’expérimentation pour un déploiement futur.

Dans un second temps, le logiciel frauduleux va empêcher l’utilisateur de se débarrasser de l’affichage contraint. Pour cela, il corrompt la fonctionnalité qui permet de remettre une app ou une page en tâche de fond, pour en changer ou pour simplement revenir à l’écran d’accueil. Elle est le plus souvent contrôlée par un bouton central, ou un geste particulier sur les modèles sans bouton mécanique. Au lieu de renvoyer l’app en arrière, l’usage du bouton déclenchera le rançongiciel, et appellera à nouveau la note de rançon, indéfiniment.

Une menace grandissante, mais limitée (pour l’instant)

Heureusement, les apps porteuses de ce rançongiciel n’ont pas réussi à passer les sécurités du Google Play Store. Pour l’éviter, il suffit donc de ne pas prendre de risque et de ne télécharger des programmes qu’à partir du magasin d’apps officiel de Google.

Si une personne téléchargeait depuis un site tiers ou un forum une app qui dissimule le rançongiciel, son appareil ne pourrait le détecter immédiatement. Les hackers ont chiffré une partie de leur code malveillant, l’ont renommé et l’ont dissimulé dans différents fichiers, ce qui complique grandement la détection de la menace.

Bien qu’inquiétante, la menace des rançongiciels Android reste (pour l’instant) d’un tout autre ordre que celle des rançongiciels pour ordinateurs. Les premiers touchent principalement des particuliers et demandent des rançons qui dépassent rarement le millier d’euros. Les seconds sont capables de paralyser des multinationales, et exigent des rançons en millions, voire en dizaines de millions d’euros. D’un côté, la petite délinquance, de l’autre, le grand banditisme.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux