Ce n'est pas le bon moment pour avoir un téléphone Android vieux ou plus à jour : un malware open source appelé Ratel RAT est en effet utilisé dans plus de 120 attaques pour bloquer les smartphones des malheureux et leur demander de payer. Les auteurs de l'étude, publiée dans Check Point , rapportent que les victimes viennent notamment des États-Unis, de Chine et d'Indonésie (mais aussi d'Italie et de France), et appartiennent à des organisations de haut niveau, notamment dans le secteur gouvernemental et militaire ( ce à quoi vous pourriez vous demander pourquoi ils n'ont pas de téléphones mis à jour et pourquoi ils peuvent installer des applications comme celles que nous verrons dans le prochain chapitre sur leurs téléphones). Selon les données recueillies, en effet, les victimes étaient équipées d'un téléphone qui ne recevait plus de mises à jour de sécurité. Dans la plupart des cas, 87,5 % du total, il s’agissait d’Android 11 ou d’une version antérieure, tandis que 12,5 % des appareils infectés ont été mis à jour vers Android 12 ou Android 13. Quant aux marques et modèles de téléphones ciblés, ils vont des téléphones Samsung Galaxy, Google Pixel, Xiaomi Redmi et Motorola One aux téléphones OnePlus, Vivo et Huawei. Compte tenu de la diversité des attaques, il n'y a pas d'auteur unique : les chercheurs ont trouvé des preuves qu'il s'agit du groupe APT-C-35 (DoNot Team) ainsi que de groupes d' Iran et du Pakistan, mais pas seulement.

Ratel RAT est donc un malware qui injecte un ransomware, qui à son tour bloque le téléphone et montre aux victimes une page Telegram à utiliser pour déposer de l'argent et donc reprendre possession de leur argent. Ce malware pénètre dans les téléphones de différentes manières, mais généralement via des campagnes de phishing qui encouragent les utilisateurs à télécharger des applications nommant des marques connues telles qu'Instagram , WhatsApp, des plateformes de commerce électronique ou des applications antivirus. Une fois le fichier APK installé, l'application demande un certain nombre d'autorisations qui devraient vous rendre suspect, notamment l'exemption de l'optimisation de la batterie afin de pouvoir fonctionner en arrière-plan. À ce stade, le ransomware prend le contrôle du téléphone, modifie le code pour déverrouiller l'écran de verrouillage et le verrouille. Dans un cas d'attaque en Iran, le malware a supprimé l'historique des appels, modifié le fond d'écran pour afficher un message, verrouillé l'écran, activé les vibrations et envoyé un SMS avec une note invitant la victime à se rendre sur Telegram pour " résoudre le problème ".

Les commandes supportées sont différentes, mais voici les plus utilisées :

- ransomware , pour démarrer le processus de cryptage des fichiers sur votre appareil.
- wipe , pour supprimer tous les fichiers du chemin spécifié.
- LockTheScreen , qui verrouille l'écran de l'appareil, le rendant ainsi inutilisable.
- sms_oku , qui affiche tous les SMS (et codes 2FA) au serveur de commande et de contrôle (C2).
- location_tracker , qui vous permet d'envoyer l'emplacement en direct de l'appareil au serveur C2.

Les actions sont contrôlées via un tableau de bord central où les acteurs malveillants peuvent accéder aux informations sur les appareils et leur état, et décider en temps réel quoi faire. Selon l’article, la commande du ransomware était exécutée 10 % du temps. Pour vous défendre de ces attaques, vous devez d'abord éviter de télécharger des applications provenant de sources douteuses, ne pas cliquer sur les URL intégrées dans les emails ou les SMS et analyser les applications avec Play Protect avant de les lancer. Et si possible, mettez à jour votre téléphone avec la dernière version du système d'exploitation ou les correctifs de sécurité disponibles.