Koler, un ransomware Android extorque 200 euros à ses victimes

3
71
Android malware

Les ransomwares sont des malwares qui bloquent votre appareil et vous demandent une rançon pour continuer à utiliser votre machine. Longtemps « réservés » aux PC, ils sont de plus en plus présents sur Android et Koler en est l’exemple flagrant.

Le nom de Reveton (ou IcePol) continue de faire frémir les utilisateurs PC. Ce fameux ransomware bloque depuis des années les ordinateurs d’internautes insuffisamment protégés et affiche un message provenant prétendument des services de police (d‘où son nom IcePol). Ce dernier vous demande de payer une amende pour avoir « consulté de la pornographie illégale (pédopornographie, zoophilie, etc.) » ou encore« avoir téléchargé des programmes illégalement ».

Il y a quelques jours, les analystes des Laboratoires antivirus Bitdefender ont découvert une version de Reveton sur Android. Baptisé Koler, le procédé est le même que sur ordinateur, et demande le paiement d’une rançon d’un montant de 200 € (soit 300$) afin de vous rendre la main sur votre appareil.

Un ransomware… que vous installez délibérément !

La particularité de Koler est qu’il n’exploite pas de vulnérabilité présente sur votre Android pour s’installer en drive-by download (c’est-à-dire à l’insu de l’utilisateur lors de sa navigation Web). Il s’agit d’une application que vous installez de votre plein gré !

Lors de la campagne interceptée par nos Laboratoires, le ransomware a usurpé BaDoink, une (vraie) application qui permet de visionner et de télécharger facilement des vidéos au contenu pornographique. Heureusement, cette fausse version de l’application n’est pas présente sur Google Play. Pour se faire infecter il faudra alors que vous autorisiez le téléchargement et l’installation d’applications de sources inconnues.

Cette astuce est redoutable puisqu’elle cible les utilisateurs de sites pornographiques, donc lorsque le message de la police s’affichera en reprochant à l’utilisateur d’avoir consulté des « sites pornographiques illégaux », celui-ci sera plus à même de penser qu’il est en effet hors-la-loi.

L’écran de blocage diffère selon la localisation

Une fois la fausse application installée, son centre de commande envoie une requête pour connaître le numéro IMEI (identifiant unique d’appareil mobile) et afficher l’écran de blocage dans la langue de l’utilisateur local.

Quelques écrans de blocage :

koler-ransomware-android

Les utilisateurs français sont visés par ce ransomware, ainsi que 30 autres pays dont les Etats-Unis, l’Angleterre, la Belgique, l’Allemagne et l’Espagne.

J’ai été infecté, que faire ?

Contrairement à ce que le message de l’écran de blocage indique, vos données n’ont pas été cryptées. Bien que Koler bloque la touche « précédent », vous pourrez vous débarrasser du malware via le menu principal (un délai de quelques secondes est accordé avant que l’écran de blocage ne réapparaisse) ou simplement en démarrant votre appareil en mode sans échec.

Koler n’est certainement pas le ransomware le plus sophistiqué du monde, mais il est tout de même le deuxième ransomware pour Android découvert en quelques mois, et il ne fait aucun doute qu’il ne sera pas le dernier.

Cet article a été rédigé par David Sygula grâce aux informations fournies par Bogdan Botezatu, analyste senior des e-menaces chez Bitdefender.

 

Source : Laboratoires Bitdefender

Les commentaires sont fermés.