Menace des « rançongiciels » sur Android Ecrit par Sylvain Biget
Force est de constater que les cybercriminels ont toujours un coup d’avance et sont systématiquement à la pointe des tendances du moment. Etant donné que l’on passe énormément de temps sur nos mobiles, sans délaisser les ordinateurs, les escrocs s’évertuent à intensifier leurs attaques sur nos précieux smartphones.
La dernière menace en date s’appelle « Xbot » et s’en prend pour le moment uniquement aux téléphones équipés d’Android.
Détecté par le spécialiste de la sécurité Palo Alto Networks, le logiciel malveillant, une fois introduit dans le smartphone, vient y dérober les données et surtout les identifiants bancaires. Pour cela, il affiche des imitations de pages Web officielles, comme celles relatives à un compte Google Play ou celles d’une banque. Si l’utilisateur tombe dans le panneau, son compte en banque va subir des débits sauvages et incontrôlables.
Ce n’est pas tout, puisque le malware est également capable de bloquer complètement l’accès au téléphone. Pire encore, il va chiffrer l’ensemble des données de celui-ci. Pour débloquer la situation, il n’y a qu’une seule issue : régler, via le service bancaire en ligne PayPal, une rançon d’un montant de 100 dollars US.
Mais comment le malware peut s’introduire dans le smartphone ?
Le malware a été détecté dans 22 applications Android. Il faut noter que celles-ci ne sont pas présentes sur le Play Store, la boutique officielle d’applications de Google.
Une fois que l’utilisateur a installé une de ces applications, Xbot qui s’y dissimule va afficher un message demandant des autorisations supplémentaires (administrateur), comme le font de nombreuses applications. Dès que l’utilisateur accorde cette autorisation, dans le meilleur des cas, Xbot va lancer l’offensive pour récupérer les identifiants d’un compte avec de faux sites bancaires (phishing).
Dans le pire des cas, il procède au rançonnage. Dans cette situation, il va bloquer la sonnerie du téléphone et modifier son mot de passe. Une fois le mobile verrouillé, le piège est tendu. Une page s’affiche et empêche totalement l’accès au contenu du téléphone. C’est à ce moment que l’ensemble des données est chiffré. L’auteur du traquenard donne ensuite à sa victime cinq jours pour payer la rançon de 100 dollars pour, en retour, déchiffrer les données et rendre l’accès au téléphone. Passé ce délai, c’est terminé et il n’y a pas de retour en arrière possible.
Cette funeste technique est déjà bien connue dans l’univers des ordinateurs.
Rappelons qu’il y a un mois, le Hollywood Presbyterian Medical Center, un hôpital de Los Angeles, en a fait les frais. Tous les ordinateurs étaient bloqués et les responsables de l’hôpital ont dû verser une rançon de 17 000 dollars pour reprendre la main sur leurs machines.
2/3 des smartphones Android peuvent être touchés
En revanche, l’arrivée de ce phénomène sur les mobiles est une nouveauté. Les cybercriminels ciblent précisément les utilisateurs de téléphones dont la version d’Android est antérieure à la version 5 du système d’exploitation.
Malheureusement, cela concerne encore environ 64,6% des mobiles fonctionnant avec Android, selon les dernières statistiques fournies par Google.
Pour le moment, Xbot sévit principalement en Russie et en Australie. Toutefois, les experts de Palo Alto estiment que le cheval de Troie est conçu de façon très flexible et que ses améliorations pourraient lui permettre de menacer les utilisateurs d’Android partout dans le monde.
Pourquoi les pirates s’attaquent à Android et non à d’autres systèmes d’exploitation comme iOS (Apple) ou Windows Phone (Microsoft) ?
Tout simplement parce que le système de Google est un peu moins verrouillé que celui d’Apple. Si les possesseurs d’iPhone sont moins concernés par ce genre de malware, c’est parce que le système les confine dans un univers très étriqué.
Impossible d’installer une application sans passer par l’App Store. Pour aller plus loin dans la personnalisation, il faut faire sauter les verrous d’iOS en réalisant ce que l’on appelle un jailbreak. Après cette opération, le téléphone donne accès à ses réglages les plus enfouis, mais il perd sa garantie et est plus vulnérable aux attaques. En outre, il faut savoir qu’Apple produit de nombreuses mises à jour de son système. Google fait de même, mais de façon limitée, puisque ce sont les multiples constructeurs qui proposent ou non ces mises à jour. Mais attention, cela ne veut pas dire que les iPhones sont totalement étanches aux malwares.
Dans le cas d’appareils sous Windows Phone de Microsoft, si ces mobiles sont moins attaqués, c’est tout simplement parce qu’ils sont encore peu représentés sur le marché. Les cybercriminels profitent donc à la fois du nombre et de la grande diversité des versions d’Android disponibles pour mener leurs actions.
Que faire pour éviter ce genre de piège ?
Le seul conseil que nous pouvons vous donner, c’est de sauvegarder de façon régulière toutes vos données. Pour cela, il faut se rendre dans les Paramètres du téléphone et sélectionner Sauvegarder et réinitialiser. Ensuite, déplacez les interrupteurs disponibles vers la droite. Normalement, si vous utilisez Android, vous devriez avoir associé votre mobile à votre compte Google (Gmail). C’est sur ce compte que toutes les données vont être sauvegardées.
En cas de souci, il est possible de redémarrer le mobile et de restaurer ses paramètres d’usine. Pour cela, il faut généralement maintenir appuyés simultanément le bouton de mise sous tension et celui du volume. L’écran de démarrage propose alors des options de dépannage, dont une appelée Wipe data/Factory reset. A l’allumage du mobile, il suffira de saisir votre adresse Gmail, puis votre mot de passe afin de retrouver toutes vos applications, vos données et vos réglages. Seuls vos SMS et vos MMS risquent d’être perdus.
Reste une dernière recommandation et pas des moindres : veillez à utiliser uniquement l’application Play Store qui se trouve sur le téléphone pour chercher et installer une application.
Peut-on porter plainte ?
En cas de phishing bancaire, signalez les opérations suspectes à la banque qui devrait faire le nécessaire pour bloquer les prélèvements et recréditer votre compte. Dans tous les cas, sachez qu’aller déposer une main courante ou porter plainte auprès des forces de l’ordre ne servira à rien. Malheureusement, comme bien souvent dans le cas d’attaques de ce genre, leurs acteurs n’agissent pas en France, mais souvent en Russie, ou dans d’autres pays, où la règlementation en matière de cybercriminalité n’est pas adaptée. Au final, les juridictions françaises ne peuvent donc pas faire grand-chose contre ce genre de crime en raison de leur délocalisation.
Pour plus d’informations et de conseils de ce genre, c’est ici et c’est gratuit
Sylvain Biget a travaillé pour de nombreux magazines de la presse high-tech professionnelle et grand public. Depuis une quinzaine d’années, il s’est spécialisé dans toutes les questions relatives à la sécurité informatique, au cyber-espionnage, à la protection des données et de la vie privée. .
