Après l’application pornographique qui prend en photo les utilisateurs pour les rançonner, un autre ransomware a été découvert. Ce dernier a la particularité de changer le code PIN des terminaux Android. Seule option dans ce cas, la réinitialisation en version usine de l’appareil et donc la perte de toutes les données.
Surnommé Android/Lockerpin.A, il a été découvert par les laboratoires de recherche d’Eset. L’éditeur suit depuis quelques années le développement des ransomwares sur la plateforme Android. Il indique dans un billet blog, que ces menaces se développent rapidement et de manière de plus en plus sophistiquée. Le ransomware Lockerpin.A touche particulièrement les Etats-Unis. Il se niche pour l’instant dans des applications à caractère pornographique, comme Porn Droid, sur des magasins applicatifs tiers, mais Eset précise qu’il pourrait rapidement faire surface sur Google Play.
Android/Lockerpin.A s’insinue dans les terminaux via cette application et tente d’obtenir une élévation de privilèges. Pour cela, il propose à l’utilisateur de mettre à jour l’application. Si le possesseur du smartphone tombe dans ce piège, le malware obtient les droits administrateurs du terminal. De là, il va pouvoir modifier les paramètres de l’OS mobile et notamment changer le code de déverrouillage de l’écran.
Les pirates peuvent ensuite bloquer l’accès à l’appareil en publiant un message d’avertissement logotypé FBI concernant la visualisation de contenus illicites. L’utilisateur pourra retrouver l’usage de son terminal moyennant une rançon de 500 dollars. Mais le malware reste toujours présent sur l’appareil et peut modifier encore une fois le code PIN de déverrouillage de l’écran.
Une spirale qui offre peu d’échappatoires. La plus radicale est la réinitialisation complète pour rétablir les paramètres usines des mobiles et tablettes. Problème, cette solution efface complètement des données. Autre moyen souligné par Eset, disposer d’un service de MDM (Mobile Device Management) capable de réinitialiser le code PIN. Une méthode réservée aux entreprises.
A lire aussi :
Les publicités piégées au ransomware se multiplient
Ransomware : un retour sur investissement très lucratif
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.