Koler.A : le malware qui rançonne les utilisateurs Android

Mickaël Bazoge |

Les développeurs de malwares sous Android ne manquent pas d'imagination. La dernière attaque à la mode est particulièrement évoluée. Le cheval de Troie Koler.A affiche une alerte dans le navigateur web du smartphone qu'il est impossible de supprimer : même une fois revenu à la page d'accueil, un minuteur (5 secondes environ) relance le butineur en affichant de nouveau l'alerte.

Il s'agit d'effrayer l'utilisateur en l'accusant d'avoir consulté des sites licencieux (pornographie infantile, zoophilie…) Pour s'en débarrasser, il faut payer une rançon de 300$ via un protocole sécurisé et anonyme. Le message est particulièrement convaincant et, raffinement supplémentaire, il s'adapte au pays où on le consulte en s'appuyant sur des textes de loi locaux.

Clic pour agrandir

Le cheval de Troie s'installe après une visite sur un site porno infecté, qui télécharge automatiquement une application permettant de consulter son contenu. L'infection nécessite toutefois que l'utilisateur accepte d'installer l'APK en dehors du Play Store, ce qui passe par un réglage dans les préférences du smartphone.

S'il est possible de se débarrasser de l'app en question dans le laps de temps laissé par le minuteur, il faut faire vite et espérer que l'icône du logiciel malicieux soit présente sur la page d'accueil du smartphone, auquel cas on pourra la glisser sur le tiroir de suppression d'Android, comme l'explique Bitdefender à ArsTechnica. Pour éviter un tel problème, il faut se contenter du catalogue du seul Play Store, qui n'est certes pas aussi surveillé que l'App Store d'Apple mais qui apporte un minimum de sécurité.

Koler.A est une vieille connaissance, le malware étant d'abord apparu sur PC il y a 18 mois. Il aurait extorqué 5 millions de dollars par an chez les utilisateurs de Windows ! Depuis l'apparition de Koler.A sur Android, au moins 68 victimes dans le monde se sont résolues à passer à la caisse. Et les techniques de racket sont de plus en plus raffinées, avec le développement d'outils de chiffrement très évolués comme Cryptolocker qui interdit l'usage du disque dur tant que son propriétaire n'a pas payé les 300$ demandés. Il n'est cependant pas prouvé que la version mobile chiffre les données contenues sur l'appareil.

Tags
#malware #koler.a #android
avatar Mdtdamien | 
Salut génie, Jailbreaker est aussi facile, voire même plus facile que d'activer les options développeurs et activer les sources inconnues sur Android. Il faudrait peut-être avoir essayé un terminal avant de critiquer.
avatar Mdtdamien | 
*Désolé, double post*
avatar tipablo | 
@nono68200 "Alors que sur Android, l'installation d'applications non officielles est supportée par défaut" Non. Il faut l'autoriser dans les paramètres.
avatar tipablo | 
*** double post ***
avatar albert.dsf | 
KolerA c'est beau comme nom je trouve.
avatar tigre2010 | 
@LeiPodeur LeiPodeur07/05/14 21:54 KolerA c'est beau comme nom je trouve. C'est juste que dans la vrai vie, ce virus l'est moins.
avatar Lou117 | 
"L'infection nécessite toutefois que l'utilisateur accepte d'installer l'APK en dehors du Play Store, ce qui passe par un réglage dans les préférences du smartphone." Tout est dit, c'est désactivé par défaut, quand on l'active (volontairement), le système vous annonce clairement les risques avec le texte suivant : "Votre téléphone et vos données personnelles sont plus vulnérables face aux attaques d'applications provenant de sources inconnues. Vous reconnaissez être seul responsable de tout dommage subi par votre téléphone ou de toute perte de données pouvant découler de l'utilisation de ces applications". Ensuite, quand on veut installer un APK, le système nous demande l'autorisation et affiche les éventuels droits d'accès demandés par l'application. Mieux, depuis les dernières versions d'Android, une vérification systématique de l'application est faite, exactement comme le fait MacOS avec sa liste d'attaques connues. Bref, déjà il faut que l'utilisateur soit particulièrement motivé, mais de plus il suffit que Google ajoute cette application à la liste de celles connues comme dangereuses pour que le problème disparaisse... Jusqu'à la prochaine ;)
avatar napuconcture | 
Le second point est valable uniquement pour les appareils équipés d'Android avec Google, pour les autres il n'y a pas de mécanisme de protection standard, et donc l'utilisation d'un antivirus/anti-malware est souhaitable (souvent un est intégré d'office dans ce cas).
avatar Lou117 | 
Oui enfin quand je parle d'Android, je parle pas des trucs non certifiés sans accès au Google Play. Sinon effectivement...
avatar tigre2010 | 
Que vous voulez vous, Android c'est génial ! Il y a plein de magasin et aussi plein de virus.
avatar Mdtdamien | 
Encore un pétage de plomb... Quand sur mon mac, je vais sur un site "louche" et qu'il me propose de télécharger un dmg et que j'installe un virus, vous faites autant de foin? Sur 100% des plateformes du monde, les sites vous proposeront de télécharger des crasses, cela existe depuis des années et cela existera encore dans 10 ans. Merci les as de l'informatique pour cette super news.
avatar Billytyper2 | 
@Ze_misanthrope : Je crois que comme d'habitude tu n'as pas tout lu l'article. La grosse différence avec ce virus est qu'il CRYPT ton disque (version ordi du virus). Tu fais comment pour récupérer tes données sans payer ?
avatar ludmer67 | 
@banane: Ben ça change des centaines d'androïd qui même neuf n'arrivent pas à être à jour avec la dernière version... Voir deux ans pour certain flagship... On n'en est encore loin avec iOs...

CONNEXION UTILISATEUR