{"id":5784,"date":"2016-06-30T16:25:38","date_gmt":"2016-06-30T16:25:38","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=5784"},"modified":"2019-11-22T09:08:47","modified_gmt":"2019-11-22T09:08:47","slug":"mobile-ransomware-2016","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/mobile-ransomware-2016\/5784\/","title":{"rendered":"Le ransomware mobile frappe fort !"},"content":{"rendered":"

La semaine derni\u00e8re, nous vous avions parl\u00e9 du ransomware d\u2019ordinateur, particuli\u00e8rement nocif. Mais le ransomware ne frappe pas uniquement les ordinateurs, il s\u2019en prend \u00e9galement aux dispositifs mobiles, qui est en hausse.<\/p>\n

Aujourd\u2019hui nous parlerons des types de ransomwares mobiles les plus courants. Nous vous d\u00e9voilerons des statistiques que nous avons obtenues gr\u00e2ce \u00e0 nos solutions de s\u00e9curit\u00e9.<\/p>\n

Qu\u2019est-ce qu\u2019un ransomware mobile ?<\/h3>\n

De nombreuses personnes savent d\u00e9j\u00e0 ce qu\u2019est un ransomware et sont conscientes de son \u00e9volution constante. Le type de ransomware le plus r\u00e9pandu et le plus emb\u00eatant est le ransomware d\u2019ordinateur appel\u00e9 cryptolocker. Il s\u2019agit d\u2019un malware qui chiffre vos donn\u00e9es et qui vous propose de les r\u00e9cup\u00e9rer si vous en payez la ran\u00e7on. Un autre type de ransomware, le bloqueur, bloque aussi bien les navigateurs que les syst\u00e8mes d\u2019exploitation en demandant une ran\u00e7on en \u00e9change de r\u00e9tablir l\u2019acc\u00e8s. Actuellement, les bloqueurs d\u2019ordinateurs sont moins r\u00e9pandus que les cryptoransomwares. Ces derniers s\u2019av\u00e8rent en effet plus efficaces lorsqu\u2019il s\u2019agit de verser de l\u2019argent aux cybercriminels.<\/p>\n

C\u2019est en revanche le contraire concernant l\u2019ensemble des menaces sur les dispositifs mobiles : il n\u2019existe quasiment pas de cryptolockers sur les appareils Android \u00e9tant donn\u00e9 que le syst\u00e8me d\u2019exploitation et les applications effectuent des sauvegardes du Cloud. Lorsque les utilisateurs ont leurs fichiers sauvegard\u00e9s, il est inutile de payer la ran\u00e7on. Les d\u00e9veloppeurs de ransomwares \u00e9prouvent ainsi peu d\u2019int\u00e9r\u00eat \u00e0 s\u2019en prendre aux utilisateurs d\u2019Android.<\/p>\n

Les bloqueurs s\u2019av\u00e8rent \u00eatre le moyen le plus populaire d\u2019infecter les dispositifs Android. Sur les t\u00e9l\u00e9phones portables, ils agissent tout simplement en recouvrant l\u2019interface de chaque application<\/b>, rendant totalement impossible pour la victime l\u2019utilisation de cette derni\u00e8re. Les propri\u00e9taires d\u2019ordinateurs peuvent se d\u00e9barrasser d\u2019un bloqueur de fa\u00e7on relativement simple. Tout ce qu\u2019ils ont \u00e0 faire est de retirer le disque dur, le brancher sur un autre ordinateur et effacer les fichiers du bloqueur. Vous ne pouvez pas en revanche juste sortir la m\u00e9moire centrale de votre t\u00e9l\u00e9phone, elle est soud\u00e9e \u00e0 la carte m\u00e8re. Ceci explique pourquoi les bloqueurs repr\u00e9sentent 99% du \u00ab\u00a0march\u00e9\u00a0\u00bb du ransomware mobile.<\/p>\n

Petits grands joueurs<\/h3>\n

En 2014-2015, quatre acteurs principaux ont domin\u00e9 la sc\u00e8ne du ransomware mobile : Svpeng, Pletor<\/a>, Small, et Fusob<\/a>. Actuellement, Pletor a quasiment cess\u00e9 son expansion, ses cr\u00e9ateurs ont \u00e0 la place lanc\u00e9 l\u2019inf\u00e2me cheval de Troie Acecard et semblent d\u00e9sormais consacrer du temps \u00e0 son d\u00e9veloppement et \u00e0 sa diffusion. Les d\u00e9veloppeurs de Svpeng ont aussi repens\u00e9 \u00e0 leur tactique, principalement en misant sur la version bancaire du cheval de Troie. Il ne reste donc que deux grandes familles de ransomwares, Small et Fusob. Par cons\u00e9quent, en 2015-2016, ces deux chevaux de Troie repr\u00e9sentaient plus de 93% des ransomwares mobiles.<\/p>\n

\"mob-ransomware-chart\"<\/p>\n

Il convient de souligner que les familles de chevaux de Troie Fusob et Small ont beaucoup en commun. Tous deux affichent de faux \u00e9crans qui pr\u00e9tendent provenir des autorit\u00e9s en accusant les victimes d\u2019une infraction. Ils menacent les utilisateurs qu\u2019une proc\u00e9dure judiciaire sera engag\u00e9e contre eux, \u00e0 moins que ces derniers payent une amende.<\/p>\n

Fusob et Small ont tous deux des fa\u00e7ons plut\u00f4t \u00e9tranges de faire payer la ran\u00e7on : Fusob propose le paiement via des cartes cadeaux iTunes, tandis que Small offre la possibilit\u00e9 \u00e0 ses victimes de payer soit par le biais du syst\u00e8me de paiement Kiwi ou via des bons MoneyPak xpress Packet. Les deux ransomwares ont certainement \u00e9t\u00e9 mis au point par un groupe de cybercriminels russes, mais avec des approches tr\u00e8s diff\u00e9rentes.<\/p>\n

Fusob d\u00e9tecte en premier lieu le langage du mobile, s\u2019il s\u2019agit de langues de la R\u00e9publique postsovi\u00e9tique, Fusob ne fait tout simplement rien. Dans le cas contraire, il montre un \u00e9cran qui pr\u00e9tend provenir de la NSA et demande une ran\u00e7on allant de 100 \u00e0 200$. La majorit\u00e9 des victimes de Fusob (plus de 41%) vivent en Allemagne. Le Royaume-Uni et les Etats-Unis occupent respectivement la seconde et la troisi\u00e8me place, avec 14,5% et 11,4%.<\/p>\n

\"small-fusob\"<\/p>\n

Ensuite, vient le tour de la famille du ransomware Small. Pr\u00e8s de 99% des victimes de Small vivent dans trois des pays que Fusob \u00e9vite : la Russie, le Kazakhstan, l\u2019Ukraine. Small montre un \u00e9cran pr\u00e9tendant provenir du gouvernement avec des instructions de paiement, des menaces et une demande de ran\u00e7on allant de 700 \u00e0 3500 roubles (10 \u00e0 50$) afin de d\u00e9bloquer le dispositif infect\u00e9. Une version locale anglaise de Small existe \u00e9galement, elle dispose d\u2019un bloc-\u00e9cran qui mentionne le FBI et demande une ran\u00e7on de 300$.<\/p>\n

Deux versions suppl\u00e9mentaires de Small existent. L\u2019une est un cryptolocker qui accomplit les m\u00eames op\u00e9rations que la premi\u00e8re version, et qui plus est, chiffre les fichiers de la carte m\u00e9moire SD du t\u00e9l\u00e9phone. La seconde est un cheval de Troie multifonction capable de voler de l\u2019argent, d\u00e9tourner des donn\u00e9es, et bien entendu bloquer le mobile.<\/p>\n

Que se passe-t-il et \u00e0 quoi faut-il s\u2019attendre ?<\/h3>\n

Retour au temps o\u00f9 le malware mobile n\u2019\u00e9tait pas aussi r\u00e9pandu, et o\u00f9 nous avions d\u00e9j\u00e0 commenc\u00e9 \u00e0 tirer la sonnette d\u2019alarme. Entre temps, ce type de malware s\u2019est d\u00e9ploy\u00e9 \u00e0 vitesse grand V, sans montrer de signe de ralentissement. Entre 2014 et aujourd\u2019hui, les attaques mobiles ont presque quadrupl\u00e9 !<\/p>\n

Le nombre de victimes de ransomwares a \u00e9galement augment\u00e9, il a plus que doubl\u00e9, en passant de 2,04% \u00e0 4,63%. L\u2019an dernier, les Etats-Unis repr\u00e9sentaient la principale cible des ransomwares mobiles, 1 utilisateur sur 10 ayant \u00e9t\u00e9 la victime d\u2019un ransomware mobile. Actuellement ce sont 2 sur 10 en Allemagne et au Canada, pr\u00e8s d\u20191 sur 7 au Royaume-Uni, aux Etats-Unis et au Kazakhstan, et plus d\u20191 sur 10 en Italie et aux Pays-Bas.<\/p>\n

\n

Well-maintained backup solution is an impt part of your protection from Cryptolocker ransomware both on PC & Android. http:\/\/t.co\/ZifMqg4EsI<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) June 11, 2014<\/a><\/p><\/blockquote>\n