Découvert par des experts en sécurité le mois dernier, un Cheval de Troie bancaire sur Android défraie la chronique. Pour cause, il réussit le beau tour de force d’arriver à voler de l’argent sur un compte PayPal, même si celui-ci est sécurisé grâce à deux facteurs d’authentification.
Attention aux Stores alternatifs
Selon le blog de sécurité de l’ESET, ce malware se diffuse par le biais de kiosques de téléchargements alternatifs au Play Store de Google. On le retrouve dans de fausses applications d’optimisation des performances et de la batterie pour smartphone.
Comme souvent avec ce genre de programme, après la première exécution, l’application va se refermer immédiatement et demandera ensuite l’accès aux fonctions d’accessibilité d’Android à des fins de mesures « statistiques ».
L’application va alors envoyer un message à l’utilisateur sous forme d’une notification qui lui demande d’ouvrir l’application PayPal officielle et de s’y connecter, en utilisant l’authentification à deux facteurs, au besoin. Un moyen ingénieux de contourner cette double sécurité.
Rien à faire…
Car pendant que l’utilisateur s’identifie, le malware profite de la fonction d’accessibilité qui a été activée pour reproduire la saisie effectuée dans l’appli PayPal. Une fois connecté, il réalise un paiement de 1000 euros à destination de l’adresse de l’attaquant.
Selon les chercheurs en sécurité de l’ESET, le processus total ne prend pas plus de cinq secondes après l’authentification et il n’y a aucun moyen de l’interrompre. L’opération échoue dans deux cas seulement, si le compte PayPal n’est pas suffisamment approvisionné et/ou si aucune carte de crédit n’est liée au compte.
Pire encore, l’attaque et le virement auront lieu chaque fois que vous lancerez par la suite l’application PayPal ! A 1000 euros les cinq secondes d’attaque, cela peut vite coûter cher.
Du vol d’informations précieuses
Mais le cheval de Troie ne s’arrête pas là. Il télécharge des pages HTML pour cinq applications très populaires : Gmail, Google Play, Skype, Viber et WhatsApp. Ces pages vont se superposer à l’application. En fonction du programme visé, elles demandent l’identifiant et le mot de passe, pour Gmail, notamment qui sert souvent d’adresse pour la double authentification sur PayPal. Elles peuvent aussi demander à l’utilisateur de saisir ses identifiants bancaires. Le seul moyen de se débarrasser de ces écrans est de saisir du faux texte. Le bouton Home ou Retour sont en effet désactivés.
Et la routine habituelle
Enfin, le malware se livre aux exactions habituelles de ce genre de programme. A savoir qu’il va intercepter les SMS et changer l’application de SMS par défaut, toujours dans l’optique de récupérer des données ou de contourner une sécurité par double authentification. Il récupérera également votre liste de contacts, dressera un état des lieux des applications installées, etc. Un bon moyen de savoir pour la suite quelles applications attaquer. Un plan bien huilé, en quelque sorte.
Pour l’heure, afin d’éviter de tomber dans le piège de ce cheval de Troie, il vous suffira d’éviter de télécharger des applis en dehors du Play Store de Google. Par ailleurs, PayPal ayant été averti, il est fort probable que ses développeurs travaillent à produire une mise à jour qui bloquera cette attaque.
Source :
Blog de l’ESET
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.