Google intensifie sa lutte contre les ransomwares sur Android. Après avoir restreint la possibilité pour un malware de changer par logiciel les codes PIN et autres mots de passe sur Android 7 « Nougat », les ingénieurs de Mountain View devraient modifier la façon dont les alertes systèmes vont s’afficher sur l’écran de l’OS mobile. Le code d’Android 8.0, attendu pour l’automne prochain, devrait s’alléger de trois types de fenêtres (TYPE_SYSTEM_ALERT, TYPE_SYSTEM_ERROR et TYPE_SYSTEM_OVERLAY), avance Dinesh Venkatesan, ingénieur chez Symantec spécialisé dans l’analyse des menaces, qui a scruté la première version preview d’Android « O » destinée aux développeurs.
Ces commandes permettent d’afficher des fenêtres par-dessus n’importe quelle application. Un mode d’information particulièrement prisé des auteurs de rançongiciels afin de bloquer l’accès de l’utilisateur au reste du système et lui afficher les instructions à suivre pour procéder au paiement censé libérer ses fichiers rançonnés par chiffrement.
Néanmoins, ce modèle de défense par suppression de certaines fonctionnalités restera inefficace contre les ransomwares qui exploitent d’autres vecteurs d’attaques. Notamment ceux qui affichent constamment des messages par-dessus l’écran de connexion du terminal en exploitant les droits utilisateur.
Mais surtout, seul les terminaux équipés d’Android O profiteront de cette protection. Or, les auteurs de ransomwares concentrent généralement leurs efforts sur les versions plus anciennes de l’OS mobile, par défaut moins sécurisées fautes de mises à jour. Il y a un an, Cyber.Police s’attaquaient aux smartphones sous Ice Cream Sandwitch (Android 4.0), Jelly Bean (4.x) et KitKat (4.4) qui animent quasiment 30% du parc des smartphones Android aujourd’hui. L’agent malveillant bloquait l’écran d’accueil de l’utilisateur et exigeait l’achat de cartes cadeaux iTunes de la clé de déchiffrement des fichiers vérolés. Qui plus est, les développeurs de malwares tenteront probablement de contourner les nouvelles mesures introduites dans Android 8.0 pour se jouer des règles de protection de l’OS mobile.
La première des protections reste donc la vigilance de l’utilisateur. L’ingénieur de Symantec rappelle d’éviter d’installer des applications de magasins alternatifs à celui de Mountain View, d’en faire les mises à jour et de rester attentif aux permissions demandées par celles-ci (même si Google s’attache à limiter la capacité des cyber-attaquants à infiltrer le Play Store). Au pire, l’utilisateur victime d’un ransomware peut toujours réinitialiser son terminal… à condition d’avoir préalablement sauvegardé ses données. A ce jour, aucun ransomware connu n’a réussi à bloquer ce retour au mode usine du smartphone.
Lire également:
Un ransomware change le code PIN des terminaux Android
Inédit : un malware commandé par… Twitter
Ransomwares : 38 % des victimes paient leur rançon
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
