Evitez les sites pornos si vous utilisez un téléphone sous Android !

Android est une plateforme extrêmement populaire et c’est sans doute ce qui explique pourquoi elle est la cible de nombreux virus. Blue Coat Labs vient d’ailleurs de détecter un nouveau ransomware extrêmement dangereux, un ransomware qui se propage grâce aux sites pornos. Et attention, car il suffit de visiter un site infecté pour se retrouver avec un terminal vérolé.

Si vous n’êtes pas familier de la chose, alors sachez que les ransomwares ne sont pas des virus comme les autres. Pas du tout même car ces logiciels malveillants ont été conçus pour prendre nos données en otage et, accessoirement, pour rapporter beaucoup d’argent à leur(s) concepteur(s).

Ransomware Android

Un nouveau ransomware vient d’être détecté sur Android et il est très méchant.

Après avoir infecté un appareil, ils vont ainsi chiffrer toutes les données personnelles stockées dessus. Lorsque ce sera fait, ils demanderont à leur propriétaire d’envoyer de l’argent en échange de la clé de déchiffrement.

Un ransomware qui se propage grâce à des sites pornos

Les ordinateurs ne sont pas les seuls appareils touchés par ces programmes et les terminaux nomades sont aussi pris pour cible par les pirates. Ce n’est d’ailleurs pas très surprenant compte tenu de la place qu’ils occupent désormais dans notre quotidien.

Android a vu passer pas mal de ransomwares au fil de ces derniers mois mais ces derniers utilisaient tous le même mode opératoire et ils se cachaient ainsi dans des applications distribuées en dehors du Play Store. Pour s’en protéger, il suffisait donc de faire attention à ce que nous installions sur notre téléphone ou sur notre tablette tactile.

Cette fois, la situation est un peu différente car le programme malveillant détecté par les experts du Blue Coat Labs, Cyber.Police de son petit nom, se propage directement par le biais de certains sites.

Les chercheurs responsables de la découverte sont d’ailleurs tombés dessus un peu par hasard, en effectuant des tests sur une tablette fonctionnant sous CyanogenMod 10. Le terminal a rapidement commencé à montrer des signes de faiblesse après avoir visité une page et nos experts se sont alors rendus compte qu’il avait été infecté par un virus et que ce dernier était en train de chiffrer toutes les données stockées dessus.

En poussant plus loin leurs analyses, ils se sont rendus compte que le malware avait été distribué par le biais d’une page web en s’appuyant sur un script JavaScript assez… particulier. Ce dernier a effectivement exploité une faille présente dans une librairie pour forcer l’installation d’un programme malicieux sur l’ardoise sans pour autant avoir à demander les autorisations habituelles à l’utilisateur.

Le programme malveillant s’est installé sans demander les autorisations habituelles

C’était la première fois que les chercheurs tombaient sur un programme de ce genre alors ils ont immédiatement contacté Joshua Drake de Zimperium pour lui demander son avis. Il a effectué différents tests de son côté et il en est arrivé exactement aux mêmes conclusions.

Selon le rapport publié à cette adresse, seules les anciennes versions de la plateforme mobile de Google seraient touchées. La faille exploitée par le script aurait en effet été corrigée par Lollipop.

Toutefois, ce ransomware s’appuie sur une architecture récente et Blue Cloat Labs estime que le programme risque d’évoluer dans les semaines à venir. Il recommande donc aux utilisateurs d’être prudents et de faire attention aux sites qu’ils fréquentent car le programme a été détecté sur plusieurs sites pornos.

Le bon côté de la chose, c’est qu’il suffit de réinitialiser le terminal pour le remettre d’aplomb. Le truc, c’est que les données ne sont pas récupérables et il est donc préférable de penser à les sauvegarder régulièrement.

Et non, les YouPorn et compagnie ne font pas partie de la liste. Ouf.