C'est l'équipe de recherche de Zcaler ThreatLabz qui a mis en évidence un nouveau ransomware pour l'instant uniquement orienté vers le marché Russe. Si ce ransomware fait parler de lui aujourd'hui, c'est parce qu'il multiplie les originalités : d'une part, il est exclusivement orienté vers Android, d'autre part il est capable de passer sous les radars de tous les logiciels antivirus connus, enfin, il n'intègre aucun module de décryptage ce qui fait que même si l'utilisateur paie la rançon lui étant demandée, il ne pourra jamais récupérer l'accès à ses données.

Ransomware Android Admin

Selon les experts, le ransomware est diffusé à travers des applications tierces propagées elles-mêmes sur les marchés alternatifs. Cela implique donc le téléchargement d'un fichier APK et le déverrouillage de l'installation des applications non signées du côté de l'utilisateur. Aucun risque donc pour celles et ceux qui se cantonnent au Play Store.

Intégré à une application fonctionnelle, le ransomware patienterait plusieurs heures avant de mettre son module en marche. L'application fonctionne normalement, n'éveillant aucun soupçon et finit par demander à l'utilisateur de lui accorder les droits d'administrateur, la demande revenant systématiquement jusqu'à ce que ce dernier accepte. Une fois l'accès autorisé, le ransomware prend le relais et change le code de verrouillage de l'appareil ainsi que son écran, il verrouille même les tentatives de déverrouillage.

Ransomware Android Russie

L'écran de déverrouillage affiche alors un message en Russe demandant le versement de 500 roubles pour récupérer l'accès au terminal. Le message menace même d'envoyer un message à tous les contacts de la victime en se faisant passer pour elle en train de consulter des sites pornographiques. Selon les chercheurs, il s'agirait ici d'un coup de bluff, rien dans le code du ransomware ne lui permet de mettre sa menace en place.

La seule façon d'en finir avec ce ransomware est de relancer Android en mode sécurité, supprimer les droits d'administrateur de l'application et désinstaller l'application incriminée.

Ce type de ransomware pourrait préfigurer d'une nouvelle tendance sur le marché.

Source : Neowin