Si, jusqu’à présent, le ransomware ciblait les PC traditionnels, force est de constater que les smartphones et téléphones mobiles comptent désormais parmi les victimes de cette exaction. Le ransomware mobile a fortement progressé cette année, avec l’apparition de la toute première variante qui cible l’écosystème iOS, et d’une variante Android qui chiffre les données sur les smartphones équipés de cet OS. Ruchna Nigam, Chercheur en sécurité au sein de FortiGuard Labs de Fortinet, dresse un état des lieux des ransomwares connus et livre ses précieux conseils pour prévenir toute infection.

Les envahisseurs sont variés et nombreux...
Sans être une liste exhaustive, voici quelques ramsomwares :

- FakeDefend, identifié en juillet 2013, cible les téléphones sous Android. Ce ransomware usurpe les attributs d’un anti-virus et exige que l’utilisateur règle un abonnement complet à ce faux anti-virus, après exécution d’une prétendue analyse qui affiche une liste d’infections imaginaires repérées sur le smartphone.
Les dommages encourus : si l’utilisateur accepte de payer, les données de sa carte de paiement sont envoyées en texte clair vers un serveur malveillant. De plus, que ce paiement soit réalisé ou pas, le ransomware met à l’arrêt certains processus systèmes ou ceux liés à un anti-virus connu. Il supprime ensuite les packages Android présents sur la carte SD du téléphone, avec le risque de suppression d’applications ou de sauvegardes. Enfin, 6 heures après l’infection initiale, l’écran du smartphone se fige sur un écran de verrouillage, ce qui rend l’appareil inutilisable.
Conséquences :
. Utilisation du téléphone infecté : difficile en début d’infection, impossible au bout de 6 heures.
. Montant de la rançon: 99,98 $ par carte de paiement
. Désinstallation : impossible. L’équipement infecté doit être réinitialisé.
. Impact sur les données : aucune donnée utilisateur n’est altérée, en dehors des sauvegardes qui, elles, sont perdues.
 
- Cryptolocker, identifié en mai 2014, se déguise en une fausse version de l’application de téléchargement vidéo BaDoink. Bien que le malware ne cause aucun dommage aux données du téléphone, il affiche une interface prétendument activée par les forces de l’ordre, et personnalisée selon la localisation de l’utilisateur. Cet écran de verrouillage est relancé toutes les 5 secondes, ce qui rend l’utilisation de l’appareil et la désinstallation du malware particulièrement complexes.
 Conséquences :
. Utilisation du smartphone : difficile.
. Montant de la rançon : 300 $ via MoneyPak
. Désinstallation : possible après redémarrage en mode sans échec sur un PC, ou réinitialisation pour un smartphone.
. Impact sur les données : aucune perte des données utilisateur.
 
 - Le ransomware iCloud ‘Oleg Pliss’, identifié en mai 2014, constitue le premier cas connu de ransomware pour les dispositifs Apple. Ces incidents de sécurité ne sont pas liés à un malware spécifique, mais à des comptes iCloud compromis associés à certaines techniques d’ingénierie sociale. Il est probable que les assaillants aient utilisé la fonction “Localiser mon iPhone, iPad, iPod touch ou Mac” d’Apple, ainsi que des mots de passe détournés à l’occasion d’un piratage de données. Cette attaque ne peut cependant pas aboutir si l’équipement utilise déjà un code ou mot de passe permettant de verrouiller son dispositif. En revanche, les dispositifs sans code ou mot de passe devront être réinitialisés et restaurés à partir de la sauvegarde iTunes.
Conséquences :
. Utilisation du smartphone infecté : Impossible sur les équipements sans code ou mot de passe.
. Montant de la rançon: 100 $ ou €, via Moneypack, Ukash, PaySafeCard ou PayPal
. Désinstallation : Rien à désinstaller. Les smartphones sans code devront être réinitialisés.
. Impact sur les données : des potentielles fuites de données concernant l’agenda ou les contacts de la victime, et la possibilité pour l’assaillant de supprimer toutes les données sur le téléphone.
 
 - Simplocker, identifié en juin 2014, se présente sous la forme d’un cheval de Troie maquillé en une application de type Flash Player. Ceci est le tout premier ransomware “réel” identifié pour Android, au sens où il chiffre réellement les fichiers sur le téléphone. Les téléphones infectés sont verrouillés, et un message d’alerte apparait indiquant le verrouillage du téléphone et demandant une rançon pour le débloquer.
Dommages : chiffrement en AES des fichiers "jpeg", "jpg", "png", "bmp", "gif", "pdf", "doc", "docx", "txt", "avi", "mkv", "3gp" et "mp4". Utilisation de TOR pour communiquer régulièrement avec un serveur, ce dernier pouvant envoyer une commande de désactivation du malware. Même après désinstallation de l’application en mode sans échec, les fichiers doivent être déchiffrés. Une des variantes de ce ransomware demande une autorisation supplémentaire à l’utilisateur, à savoir l’interception de SMS. Dans ce cas, le malware sera désactivé par un message SMS qui fournit le code de désactivation nécessaire.
Conséquences :
. Utilisation du smartphone infecté : difficile.
. Montant de la rançon : 100 roubles via Qiwi Visa Wallet
. Désinstallation : redémarrage en mode sans échec et désinstallation, ou réinitialisation du smartphone.
. Impact sur les données : fichiers chiffrés avec AES.
 
Les conseils de Ruchna Nigam
Les utilisateurs d’iPhone et d’iPad doivent activer et définir un code sur leur smartphone. Ce code sera donc exigé lors de l’activation de l’application “Localiser mon iPhone”, ce qui permet de neutraliser le ransomware présenté plus haut pour le rendre inefficace.
Il est recommandé de n’installer que des applications à partir de sources de confiance. À noter que les commentaires des utilisateurs donnent une bonne indication quant à la légitimité de l’application à installer.
La présence d’un anti-virus sur votre smartphone constitue un moyen pertinent pour prévenir les malwares.

Par Ruchna NIGAM
Chercheur en Sécurité au sein de FortiGuard Labs de Fortinet.