Le Ransomware (aussi appelé rançongiciel) est un logiciel malveillant qui restreint la possibilité d’utiliser l’équipement infecté, jusqu’à payer une « rançon » pour pouvoir en reprendre le contrôle. Ce malware peut endommager ou chiffrer le système infecté, ou simplement laisser penser à la réalité de tels actes. Dans les deux cas, l’utilisateur peine à utiliser son équipement.

Si, jusqu’à présent, le ransomware ciblait les PC traditionnels, force est de constater que les smartphones et téléphones mobiles comptent désormais parmi les victimes de cette exaction. Le ransomware mobile a fortement progressé cette année, avec l’apparition de la toute première variante qui cible l’écosystème iOS, et d’une variante Android qui chiffre les données sur les smartphones équipés de cet OS. Etat des lieux des ransomwares connus et ci-dessous quelques conseils pour prévenir toute infection.

FakeDefend, identifié en juillet 2013, cible les téléphones sous Android. Ce ransomware usurpe les attributs d’un anti-virus et exige que l’utilisateur règle un abonnement complet à ce faux anti-virus, après exécution d’une prétendue analyse qui affiche une liste d’infections imaginaires repérées sur le smartphone.

– Les dommages encourus :si l’utilisateur accepte de payer, les données de sa carte de paiement sont envoyées en texte clair vers un serveur malveillant. De plus, que ce paiement soit réalisé ou pas, le ransomware met à l’arrêt certains processus systèmes ou ceux liés à un anti-virus connu. Il supprime ensuite les packages Android présents sur la carte SD du téléphone, avec le risque de suppression d’applications ou de sauvegardes. Enfin, 6 heures après l’infection initiale, l’écran du smartphone se fige sur un écran de verrouillage, ce qui rend l’appareil inutilisable.

– Utilisation du téléphone infecté : difficile en début d’infection, impossible au bout de 6 heures.
– Montant de la rançon: $99,98 par carte de paiement
– Désinstallation : impossible. L’équipement infecté doit être réinitialisé.
– Impact sur les données : aucune donnée utilisateur n’est altérée, en dehors des sauvegardes qui, elles, sont perdues.

Cryptolocker, identifié en mai 2014, se déguise en une fausse version de l’application de téléchargement vidéo BaDoink. Bien que le malware ne cause aucun dommage aux données du téléphone, il affiche une interface prétendument activée par les forces de l’ordre, et personnalisée selon la localisation de l’utilisateur. Cet écran de verrouillage est relancé toutes les 5 secondes, ce qui rend l’utilisation de l’appareil et la désinstallation du malware particulièrement complexes.

– Utilisation du smartphone infecté : difficile.
– Montant de la rançon : $300 via MoneyPak
– Désinstallation : possible après redémarrage en mode sans échec sur un PC, ou réinitialisation pour un smartphone.
– Impact sur les données : aucune perte des données utilisateur.

Le ransomware iCloud ‘Oleg Pliss’, identifié en mai 2014, constitue le premier cas connu de ransomware pour les dispositifs Apple. Ces incidents de sécurité ne sont pas liés à un malware spécifique, mais à des comptes iCloud compromis associés à certaines techniques d’ingénierie sociale. Il est probable que les assaillants aient utilisé la fonction “Localiser mon iPhone, iPad, iPod touch ou Mac” d’Apple, ainsi que des mots de passe détournés à l’occasion d’un piratage de données. Cette attaque ne peut cependant pas aboutir si l’équipement utilise déjà un code ou mot de passe permettant de verrouiller son dispositif. En revanche, les dispositifs sans code ou mot de passe devront être réinitialisés et restaurés à partir de la sauvegarde iTunes.

– Utilisation du smartphone infecté : Impossible sur les équipements sans code ou mot de passe.
– Montant de la rançon: 100 dollars ou euros, via Moneypack, Ukash, PaySafeCard ou PayPal
– Désinstallation : Rien à désinstaller. Les smartphones sans code devront être réinitialisés.
– Impact sur les données : des potentielles fuites de données concernant l’’agenda ou les contacts de la victime, et la possibilité pour l’assaillant de supprimer toutes les données sur le téléphone.

Simplocker, identifié en juin 2014, se présente sous la forme d’un cheval de Troie maquillé en une application de type Flash Player. Ceci est le tout premier ransomware “réel” identifié pour Android, au sens où il chiffre réellement les fichiers sur le téléphone. Les téléphones infectés sont verrouillés, et un message d’alerte apparait indiquant le verrouillage du téléphone et demandant une rançon pour le débloquer.

– Dommages : chiffrement en AES des fichiers « jpeg », « jpg », « png », « bmp », « gif », « pdf », « doc », « docx », « txt », « avi », « mkv », « 3gp » et « mp4 ». Utilisation de TOR pour communiquer régulièrement avec un serveur, ce dernier pouvant envoyer une commande de désactivation du malware. Même après désinstallation de l’application en mode sans échec, les fichiers doivent être déchiffrés. Une des variantes de ce ransomware demande une autorisation supplémentaire à l’utilisateur, à savoir l’interception de SMS. Dans ce cas, le malware sera désactivé par un message SMS qui fournit le code de désactivation nécessaire.

– Utilisation du smartphone infecté : difficile.
– Montant de la rançon : 100 roubles via Qiwi Visa Wallet
– Désinstallation : redémarrage en mode sans échec et désinstallation, OU réinitialisation du smartphone.
– Impact sur les données : fichiers chiffrés avec AES.

Quelques conseils supplémentaires pour se tenir éloigné de ces infections :

– Les utilisateurs d’iPhone et d’iPad doivent activer et définir un code sur leur smartphone. Ce code sera donc exigé lors de l’activation de l’application “Localiser mon iPhone”, ce qui permet de neutraliser le ransomware présenté plus haut pour le rendre inefficace.
– Il est recommandé de n’installer que des applications à partir de sources de confiance. À noter que les commentaires des utilisateurs donnent une bonne indication quant à la légitimité de l’application à installer.

La présence d’un anti-virus sur votre smartphone constitue un moyen pertinent pour prévenir les malwares.

 

__________
Ruchna Nigam est Chercheur en Sécurité au sein de FortiGuard Labs de Fortinet.