Passer au contenu

DoubleLocker : un ransomware particulièrement vicieux

Les ransomwares sont la nouvelle calamité des utilisateurs de smartphones. Android est une fois de plus visé au travers de DoubleLocker, un malware particulièrement vicieux. DoubleLocker,…

Les ransomwares sont la nouvelle calamité des utilisateurs de smartphones. Android est une fois de plus visé au travers de DoubleLocker, un malware particulièrement vicieux.

DoubleLocker, qui se propage dans une APK vérolée du Flash Player d’Adobe, a été repéré par les chercheurs en sécurité d’ESET. Une fois installé, il prend le contrôle du smartphone, récupère les droits d’admin et chiffre le contenu de l’appareil. Il faut alors payer une rançon de 0,013 bitcoin (environ 62 euros) dans les 24 heures suivant la mise sous séquestre des données pour espérer les récupérer.

Une rançon et un blocage

Mais DoubleLocker ne s’arrête pas là. Après son incursion via cette APK, il lance un service d’accessibilité (qui s’appelle… Google Play Service) qui lui permet de subtiliser les permissions d’accessibilité. Il a alors la main sur les droits d’administration du smartphone : armé de ces informations, il devient le lanceur par défaut de l’appareil. Résultat : il modifie le code de déverrouillage, ce qui rend le terminal impossible à utiliser.

Les chercheurs de l’ESET indiquent tout de même que les données chiffrés par DoubleLocker ne sont pas supprimées avec le chiffrement. Même si cela reste vain : les fichiers ne peuvent pas être récupérées en raison du niveau de chiffrement utilisé (AES-256). La seule issue, si on est infecté et que l’on ne veut pas payer — ce qui serait vain car laissé au bon vouloir des pirates —, c’est de réinitialiser le smartphone sur ses réglages d’usine.

Si on n’a pas pris le soin d’effectuer des sauvegardes externes, les données seront malheureusement perdues. Mais au moins le smartphone pourra continuer à servir. DoubleLocker est désormais repéré et bloqué par la plupart des antivirus.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

6 commentaires
    1. Comme dit Lorinx, mais, parfois des apk vérolées traine sur l’appstore officiel le temps d’être repérées et supprimées.

    2. En fait on ne peut pas… il y a des applis vérolés mais pas de ramsonware le code des appli étant scanné un minimum avant d’apparaître en ligne ce qui passe souvent c’est des spyware mais il n’y en a pas masse

      1. ben si on peut.
        Le code des applis est scanne mais tu crois sincèrement que le ransomware y est des le départ ?
        il y a un code de téléchargement dans l’apk, qui ne déroge pas aux règles de google puisque les jeux peuvent télécharger des extensions une fois chargés. Et c est ce code qui télécharge le ransomware qui est difficile a détecter.
        Ensuite il simule une demande système de droit et i l’utilisateur fait l erreur de cliquer oui , game over….

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *