Navigation
Les derniers articles
Suivez en direct

DroidLock : le malware Android qui verrouille votre téléphone et rançonne

Une figurine de la mascotte Android verte en plastique est représentée, "verrouillant" un smartphone moderne éteint avec un gros cadenas métallique. L'image symbolise la sécurité et la protection des données sur les appareils mobiles.
DroidLock verrouille l’appareil, modifie le code PIN et affiche un compte à rebours de rançon, avec menace d’effacement définitif des fichiers.

TL;DR : L’essentiel

  • Un nouveau logiciel malveillant baptisé DroidLock cible spécifiquement les utilisateurs Android, en particulier hispanophones, en verrouillant leurs smartphones, en modifiant le code de déverrouillage et en réclamant une rançon sous menace de destruction totale des fichiers.
  • Les chercheurs expliquent que DroidLock ne chiffre pas les données comme un rançongiciel classique, mais atteint le même résultat en bloquant l’accès complet au téléphone et en affichant un message de chantage agressif, au compte à rebours.
  • Le malware est diffusé via des sites d’hameçonnage imitant des opérateurs télécoms ou des marques connues, poussant l’internaute à installer une fausse application qui sert de cheval de Troie pour déployer DroidLock sur l’appareil visé.
  • Une fois installé, DroidLock abuse des permissions Android les plus sensibles, notamment les services d’accessibilité, pour s’octroyer seul de nouveaux droits, intercepter les messages, consulter les journaux d’appels, contrôler l’interface et potentiellement effacer le contenu du téléphone.

Un nouveau logiciel malveillant vient illustrer la sophistication croissante des attaques visant Android : DroidLock, une campagne active décrite par plusieurs équipes de recherche, combine verrouillage d’écran, contrôle à distance et chantage massif autour des données personnelles. La particularité de cette menace tient moins à une nouvelle technique d’infection qu’à l’exploitation extrêmement agressive des mécanismes de sécurité du système mobile pour priver l’utilisateur de tout accès, sans même recourir au chiffrement des fichiers. Dans un contexte où l’Espagne et plus largement les publics hispanophones sont déjà particulièrement ciblés, les analystes alertent sur un risque d’extension rapide à d’autres régions si la campagne s’avère payante pour les attaquants.

Selon BleepingComputer, DroidLock est capable de verrouiller l’écran, d’effacer les données, d’accéder aux messages texte, aux journaux d’appels, aux contacts et aux données audio. Ces capacités donnent aux cybercriminels une marge de pression considérable au moment de la demande de rançon. Le message affiché à l’écran adopte le ton d’une alerte d’urgence, promettant la suppression permanente de tous les fichiers si la victime ne paie pas dans le délai imposé et menaçant explicitement de destruction définitive. Cette mécanique de chantage rappelle les rançongiciels classiques, mais repose ici sur la perte d’accès plutôt que sur le chiffrement.

Les premiers rapports indiquent que la campagne se concentre pour l’instant sur des utilisateurs hispanophones, avec une mention explicite du risque d’essaimage au-delà de l’Espagne si les attaques se révèlent lucratives. Pour les victimes, les conséquences dépassent le simple blocage de l’écran : la combinaison de la prise de contrôle complète, de la possibilité d’effacement des données et de l’accès aux contenus sensibles comme les codes à usage unique place l’utilisateur dans une position de faiblesse extrême. Le téléphone, devenu outil central de la vie personnelle, bancaire et professionnelle, se transforme en levier de pression idéal pour les groupes criminels.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Une campagne Android qui détourne permissions et services d’accessibilité

Les chercheurs décrivent un schéma d’attaque en plusieurs étapes, reposant sur des techniques d’ingénierie sociale plutôt que sur l’exploitation de failles inconnues. La contamination commence par des sites d’hameçonnage qui imitent des opérateurs télécoms ou d’autres marques familières, afin de rassurer l’utilisateur et de le pousser à installer une application prétendument légitime. Cette application n’est en réalité qu’un « dropper », c’est-à-dire un programme dont la seule fonction est de télécharger et d’installer en arrière-plan le véritable logiciel malveillant, en l’occurrence DroidLock.

Une fois l’application malveillante installée, DroidLock abuse des mécanismes de sécurité d’Android pour prendre l’ascendant. Les chercheurs expliquent qu’il commence par demander des droits de type « administrateur de l’appareil » et, surtout, l’accès aux services d’accessibilité. Ces services sont conçus à l’origine pour aider les personnes en situation de handicap à utiliser leur smartphone, en automatisant ou simplifiant certaines actions. Dans le cas de DroidLock, ces mêmes services sont détournés pour approuver automatiquement de nouvelles permissions sans intervention visible de l’utilisateur et pour interagir avec l’interface comme si quelqu’un manipulait physiquement le téléphone.

Comme le détaille Malwarebytes, une fois les permissions critiques obtenues, DroidLock peut accéder aux messages texte, aux journaux d’appels, aux contacts et même à l’audio. Le logiciel malveillant utilise également les services d’accessibilité pour créer des « overlays », c’est-à-dire des couches d’affichage qui se superposent aux applications légitimes. Ces écrans peuvent servir à capturer le schéma de déverrouillage ou le code personnel, ou encore à afficher une fausse page de mise à jour Android qui incite la victime à ne pas redémarrer l’appareil, laissant au malware tout le temps nécessaire pour consolider sa présence.

Les chercheurs soulignent que DroidLock peut changer le code PIN de l’appareil, intercepter des mots de passe à usage unique ou encore manipuler les notifications. Il est ainsi capable de verrouiller définitivement l’utilisateur hors de son propre téléphone, tout en surveillant et en exploitant les informations personnelles qui y transitent. Cette combinaison d’usurpation de marque, d’abus de permissions et d’exploitation des services d’accessibilité illustre l’un des points faibles structurels d’Android : la difficulté, pour un utilisateur non expert, d’évaluer l’impact réel des autorisations accordées à une application.

Verrouillage sans chiffrement, accès distant et enjeux pour les utilisateurs

Un des aspects les plus marquants de DroidLock tient à sa nature hybride. Contrairement à un rançongiciel traditionnel, il ne chiffre pas les fichiers présents sur l’appareil. Les données restent théoriquement intactes, mais l’utilisateur en est totalement coupé. Pour les chercheurs, l’effet est pourtant le même : l’accès est conditionné au paiement d’une rançon, sous la menace d’un effacement complet du téléphone. Le message de chantage, qui évoque un délai de vingt-quatre heures et ordonne à la victime de ne pas prévenir les forces de l’ordre ni utiliser d’outils de récupération, cherche clairement à provoquer la panique et à empêcher toute tentative de remédiation.

Mascotte Android verte verrouillant un smartphone avec un cadenas, illustrant un malware qui bloque l’accès au téléphone.

Sur le plan technique, DroidLock ne se contente pas de bloquer l’écran ou de modifier le code PIN. Les analyses révèlent l’utilisation de Virtual Network Computing, ou VNC, un protocole qui permet de prendre le contrôle d’un appareil à distance comme si l’on en manipulait l’écran. Grâce à ce canal, l’attaquant peut démarrer la caméra, couper le son, désinstaller des applications ou manipuler des notifications en temps réel. Couplé aux overlays capables de capturer des motifs de verrouillage et des identifiants d’applications, ce contrôle à distance transforme le smartphone en terminal entièrement piloté par le cybercriminel.

Pour les utilisateurs ciblés, principalement hispanophones à ce stade, les conseils des chercheurs restent centrés sur des réflexes de base, mais souvent négligés. Il s’agit de limiter les installations aux boutiques officielles, de se méfier des liens reçus par message ou courrier électronique, de vérifier le nom du développeur, le volume de téléchargements et les avis avant d’installer une application. Les experts insistent aussi sur la nécessité de scrutiniser les permissions demandées, en particulier lorsqu’il s’agit de l’accessibilité, des messages texte ou de la caméra, ainsi que de maintenir Android, les services Google Play et les applications critiques à jour afin de bénéficier des derniers correctifs de sécurité.

Cette nouvelle campagne DroidLock illustre une tendance de fond dans la menace mobile : le passage d’attaques purement techniques à des scénarios de prise d’otage numérique, où l’ingénierie sociale, l’abus de fonctions légitimes du système et le chantage psychologique prennent le pas sur le simple chiffrement de données. Si la campagne actuelle reste concentrée sur un périmètre linguistique et géographique limité, les chercheurs préviennent que son extension à d’autres pays ne serait qu’une question d’opportunité pour les groupes criminels, renforçant l’urgence d’une meilleure hygiène numérique autour des smartphones Android.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.