Ver Koler, la nouvelle variante est un ransomware pour appareils Android

Table des matières

• La dernière variante du ver Koler est le dernier ransomware Android en ville
• Mode opératoire
• Suppression

La dernière variante du ver Koler est le dernier ransomware Android en ville

AdaptiveMobile a détecté une toute nouvelle variante du ver Koler. L’émergence de ce ver a été détectée par AdaptiveMobile le 19 octobre 2014. Ce qui est différent avec cette nouvelle variante du ver Koler, c’est qu’elle se propage désormais par SMS et prend en otage les téléphones des utilisateurs infectés jusqu’à ce qu’une rançon soit payée.

AdaptiveMobile a déclaré que la dernière variante du ver Koler est très active dans la nature et a bloqué des milliers de messages provenant de centaines de smartphones et tablettes Android infectés. AdaptiveMobile a également détecté que le tout nouveau Koler se propageait dans le monde entier par le biais de messages SMS, mais la plupart des victimes découvertes jusqu’à présent se trouvent aux États-Unis. Le blog d’AdaptiveMobile déclare,

Koler est un logiciel malveillant qui fait du chantage aux utilisateurs de téléphones infectés en bloquant l’écran avec une page de notification de faux agents des forces de l’ordre intimidante, et effraie la victime pour qu’elle paie une “amende” afin de déverrouiller son téléphone. Ce type de logiciel malveillant a été repéré pour la première fois en mai de cette année en faisant du chantage aux victimes sur des appareils Android. En juillet, de nouveaux rapports ont suggéré une nouvelle version qui peut également cibler les PC.

Mode opératoire

Cette dernière variante de Koler fonctionne en envoyant un message SMS avec un lien bitly indiquant qu’un compte avec les photos de l’utilisateur a été créé. Bitly est un service de raccourcissement d’URL qui envoie des liens raccourcis aux utilisateurs pour les URL. Il a été utilisé précédemment pour ce type d’attaques de phishing en raison de son lien à l’apparence inoffensive.

L’attaque commence lorsque la victime reçoit un message SMS d’un numéro de téléphone d’une personne qu’elle connaît, qui indique :

quelqu’un a créé un profil nommé -Luca Pelliciari- et il a téléchargé certaines de vos photos ! est-ce vous ? https://bit.ly/xxxxxx

AdaptiveMobile dit qu’un modus operandi similaire a été utilisé dans l’escroquerie Facebook en février de cette année. Il est donc tout à fait possible que les auteurs des deux logiciels malveillants soient la même personne ou le même groupe, ou que l’auteur du logiciel malveillant ait décidé d’utiliser ce texte car il pensait que c’était un bon contenu textuel pour “accrocher” les destinataires innocents du message à cliquer sur le lien.

En cliquant sur le lien bitly, la victime potentielle est redirigée vers une page Dropbox où le logiciel malveillant est caché dans une application “PhotoViewer”.

**

Une fois cliqué et installé, le logiciel malveillant bloque l’écran de l’utilisateur avec une fausse page du FBI, qui indique que l’appareil a été verrouillé en raison de contenu pornographique ou autre contenu inapproprié. L’utilisateur peut “écarter les accusations” en payant une amende à l’aide d’un bon Money Pak.

AdaptiveMobile dit que c’est une version assez remaniée de Koler, dont les versions antérieures avaient tendance à se cacher principalement sur des sites NSFW et ciblaient les adultes.

“Cette attaque combine les techniques que nous avons vues avec des vers comme Selfmite avec une attaque traditionnelle de ransomware Android,” a déclaré Cathal Mc Daid, responsable de l’intelligence des données et de l’analyse chez AdaptiveMobile. “La propagation du ver par SMS la rend plus efficace, car les gens sont plus susceptibles de répondre à un lien envoyé par quelqu’un qu’ils connaissent.”

Suppression

Tout d’abord, les utilisateurs doivent faire preuve de prudence et de discernement lors de l’installation de toute application ou APK non officiel. Les APK suspects ne doivent jamais être installés.

Cependant, si vous êtes déjà devenu une victime de Koler, vous ne devez pas autoriser de paiement. Le logiciel malveillant peut être supprimé en redémarrant leur smartphone et en le démarrant en mode “sans échec”. À partir de l’option “mode sans échec”, désinstallez l’application “PhotoViewer”.

*Une fois supprimé, votre appareil Android devrait se restaurer à son état d’origine comme avant.