Koler : un ransomware Android extorque 200 euros à ses victimes
mai 2014
Son procédé est le même que sur ordinateur, et demande le paiement d’une rançon d’un montant de 200€ (300$) afin de débloquer l’appareil.
Les Laboratoires antivirus Bitdefender ont découvert un ransomware baptisé Koler, une version sur Android du ransomware sur PC Reveton*. En effet, son procédé est le même que sur ordinateur, et demande le paiement d’une rançon d’un montant de 200€ (300$) afin de débloquer l’appareil.
Les utilisateurs français sont visés par ce ransomware, ainsi que 30 autres pays dont les États-Unis, l’Angleterre, la Belgique, l’Allemagne et l’Espagne.
Un ransomware installé délibérément par l’utilisateur
La particularité de Koler est qu’il n’exploite pas de vulnérabilité présente sur l’appareil Android pour s’installer en drive-by download (c’est-à-dire à l’insu de l’utilisateur lors de sa navigation Web). Il s’agit d’une application que l’utilisateur installe de son plein gré.
Lors de la campagne interceptée par les Laboratoires antivirus Bitdefender, le ransomware a usurpé BaDoink, une application qui permet de visionner et de télécharger facilement des vidéos au contenu pornographique. Cette fausse version de l’application n’est heureusement pas présente sur Google Play. Pour se faire infecter, il faudra alors que l’utilisateur autorise le téléchargement et l’installation d’applications de sources inconnues.
Les cybercriminels maximisent leur taux de réussite en ciblant les utilisateurs de sites pornographiques, puisque ces derniers seront plus à même de croire à la véracité du message (qu’ils penseront recevoir de la police), leur reprochant d’avoir consulté des « sites pornographiques illégaux ».
L’écran de blocage diffère selon la localisation
Une fois la fausse application installée, son centre de commande envoie une requête pour connaître le numéro IMEI (identifiant unique d’appareil mobile) et afficher l’écran de blocage dans la langue de l’utilisateur local.
Comment supprimer Koler ?
Contrairement à ce que le message de l’écran de blocage indique, les données n’ont pas été cryptées. Bien que Koler bloque la touche « précédent », l’utilisateur pourra se débarrasser du malware via le menu principal (un délai de quelques secondes est accordé avant que l’écran de blocage ne réapparaisse) ou simplement en démarrant son appareil en mode sans échec.
Koler n’est certainement pas le ransomware le plus sophistiqué du monde, mais il est tout de même le deuxième ransomware pour Android découvert en quelques mois. Bitdefender conseille aux utilisateurs de mettre à jour leur solution de sécurité pour mobiles afin de se protéger contre les applications malveillantes.
*Reveton (ou IcePol) est un ransomware qui bloque depuis des années les ordinateurs d’internautes insuffisamment protégés et affiche un message provenant prétendument des services de police (d‘où son nom IcePol). Ce dernier demande à l’utilisateur de payer une amende pour avoir « consulté de la pornographie illégale (pédopornographie, zoophilie, etc.) » ou encore « avoir téléchargé des programmes illégalement ».
