Ce n’était qu’une question de temps avant que cela n’arrive, et voilà, c’est fait.
Un “faux anti-virus” pour Android détecté par Symantec en tant que Android.Fakedefender, verrouille l’appareil de la même manière qu’un “rançongiciel” (quel terme affreux…) le faisait en environnement Windows. Une fois l’application installée, la procédure peut varier d’un smartphone à un autre car l’application semble rencontrer des problèmes de compatibilité avec certains et “plante”, ce qui permet de la supprimer.
Cela dit, la plupart des utilisateurs ne pourront pas la désinstaller car elle empêche le lancement d’autres applications. Dans certains cas, même la réinitialisation ne fonctionne pas et il faudra passer au “hard reset” constructeur, voire à la réinstallation de l’OS depuis un ordinateur, avec perte des données non sauvegardées…
Cela va de soit, mais payer pour la “version complète” n’arrange rien.
Voici comment cela ce déroule :
Traduction :
Faux antivirus sur un terminal sous Androïd
Partie 1 : Installation du faux-antivirus
Avant l’installation, le wifi et le trafic de données ont été coupées.
Le dossier du faux antivirus a été ouvert dans l’explorateur.
L’application se fait passer pour une application légitime.
L’application malveillante a été ouverte. Une fenêtre d’autorisation est apparue et Installation a été cliqué.
Une fois l’installation finalisée, un raccourci vers Androïd Defender a été créé.
Au lancement de l’application, une demande d’activation avec des droits Administrateurs est apparue.
Cliquer sur « Activer » aurait entraîné des difficultés pour la désinstallation, nous avons donc cliqué sur « annuler ».
Une version d’essai d’Androïd Defender a été installée.
A l’issue de l’installation, le scan a débuté, affichant, en temps réel, les chemins des fichiers installés sur la carte SD.
Le résultat du scan a affiché les noms des fichiers malveillants détectés ainsi que leurs détails.
Partie 2 : Comment le faux antivirus a affecté le terminal
Sur la page d’enregistrement, cliquer sur « achat de la version complète » déclenche la configuration du wifi.
Le logiciel malveillant avait déjà allumé le wifi à cette étape.
« L’activation manuelle » a demandé une clé d’enregistrement inconnue.
« Continuer sans protection » renvoie vers la page des résultats.
Le bouton « Home » ferme l’application. Notez que le trafic de données et le wifi ont été allumés et qu’un « pop-up » d’avertissement est apparu en haut de l’écran.
A cause des bogues et des problèmes de compatibilité, le logiciel malveillant a planté le terminal.
A l’issue du redémarrage, les « pop-up » sont apparus pour chaque action y compris les tentatives pour désinstaller l’application.
Sélectionner le bouton « Home » a de nouveau planté l’application.
A l’issue de redémarrage, un « pop-up » a empêché l’utilisation de l’application.
Aussi, le fichier de l’application APK avait été supprimé empêchant le fichier d’être fourni aux fournisseurs de sécurité.
Le terminal a été éteint et a redémarré après quelques heures.
L’application avertie maintenant qu’un logiciel malveillant est en train de voler du contenu pornographique stocké sur le terminal.
Cliquer sur « Supprimer toutes les menaces maintenant » active de nouveau l’application.
Le seul moyen de fermer l’application fut de cliquer sur « Home », mais les précédents avertissements perduraient.
Les essais pour supprimer l’application ou pour en ouvrir d’autres furent vains.
Cliquer sur l’icône de l’application a lancé un autre « pop-up ».
L’application a dorénavant complétement verrouillé le terminal.
Je recommande de visiter le site “www.mobilesecurity.com” pour plein d’informations pertinentes sur l’univers des mobiles…
[Source: Helloblog.fr, 26 juin 2013]