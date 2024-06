Une nouvelle menace vient d’être détectée dans l’écosystème Android. Baptisé « Ratel Rat », ce ransomware vise tout particulièrement les propriétaires de mobiles Android qui ne sont plus maintenus à jour.

Par sa nature, Android est un système d’exploitation beaucoup plus fragmenté et plus difficile à sécuriser qu’iOS. Les constructeurs ne déploient pas toujours les derniers correctifs de sécurité, surtout sur des mobiles d’entrée de gamme dont le suivi logiciel n’est clairement pas la qualité première. Ce n’est donc pas foncièrement une surprise de voir des rançongiciels et autres logiciels malveillants se déployer sur ces téléphones.

Comme le raconte Bleeping Computer dans un article daté du 22 juin 2024, un ransomware surnommé « Ratel Rat » fait actuellement le tour de la planète, laissant sur son chemin des données inaccessibles et des messages menaçants. Repéré par les spécialistes de la sécurité de Checkpoint Research, ce bout de code s’attaque donc particulièrement aux téléphones tournant sous une vieille version d’Android, chiffrant les données et demandant une rançon pour les récupérer.

Des versions d’Android pas toutes égales face aux virus

Le mode de contamination n’a rien de bien original. La plupart des victimes se font berner en téléchargeant une copie pirate de WhatsApp ou d’Instagram qui demande étrangement beaucoup d’autorisations. Une fois confortablement installé avec les privilèges administrateur, le ransomware commence son méfait en changeant le fond d’écran, en verrouillant le téléphone et en envoyant un message encourageant la victime à contacter son bourreau sur Telegram pour « régler le problème ».

Mais plus que les méthodes d’infection, ce sont les profils d’utilisateurs et d’utilisatrices visés qui sont intéressants ici. Comme le relève Checkpoint Research, plus de 87 % des victimes sont équipées d’un téléphone tournant sous une version inférieure ou égale à Android 11 (sorti en 2020 et abandonnée en 2024). Presque 18 % des téléphones contaminés tournent même sous Android 5 (sorti en 2014).

Le gros des infections se situe en Chine et aux États-Unis, mais l’Allemagne, la France et l’Italie sont également concernées par cette campagne. Parmi les marques les plus visées, on retrouve bien évidemment un gros paquet de téléphones Samsung, mais aussi Xiaomi, OnePlus ou même les anciens Nexus de Google (précurseur de la gamme Pixel actuelle).

La problématique des mises à jour

Les mobiles visés sont des cibles particulièrement faciles, car ils ne sont souvent pas équipés des dernières fonctionnalités de sécurité mises en place par Google comme Play Protect. Néanmoins, ce bout de code malveillant rappelle aussi l’importance de garder son téléphone à jour, non seulement du côté de l’utilisateur en pensant bien à installer les correctifs de sécurité proposés, mais surtout du côté des constructeurs.

Trop souvent, les téléphones entrée de gamme ne reçoivent qu’une ou deux mises à jour avant d’être abandonnés à leurs sorts et lâchés à la merci des pirates les moins bien intentionnés. S’il est évidemment difficile pour un constructeur de maintenir à flot un téléphone sorti avec Android 5 en 2014, il y a tout de même un fossé entre ça et la situation actuelle ou certains constructeurs ne proposent que deux à trois ans de mises à jour.

Heureusement, une directive européenne va mettre de l’ordre dans tout ça en forçant les constructeurs à prendre en charge leurs téléphones pendant 5 ans.