Un nouveau malware, découvert en novembre dernier, utilise une fonction d’accessibilité pour contourner la double protection de votre compte PayPal et vous voler de l’argent chaque fois que vous lancez l’application de ce service.
Découvert par des experts en sécurité le mois dernier, un Cheval de Troie bancaire sur Android défraie la chronique. Pour cause, il réussit le beau tour de force d’arriver à voler de l’argent sur un compte PayPal, même si celui-ci est sécurisé grâce à deux facteurs d’authentification.
Attention aux Stores alternatifs
Selon le blog de sécurité de l’ESET, ce malware se diffuse par le biais de kiosques de téléchargements alternatifs au Play Store de Google. On le retrouve dans de fausses applications d’optimisation des performances et de la batterie pour smartphone.
Comme souvent avec ce genre de programme, après la première exécution, l’application va se refermer immédiatement et demandera ensuite l’accès aux fonctions d’accessibilité d’Android à des fins de mesures « statistiques ».
L’application va alors envoyer un message à l’utilisateur sous forme d’une notification qui lui demande d’ouvrir l’application PayPal officielle et de s’y connecter, en utilisant l’authentification à deux facteurs, au besoin. Un moyen ingénieux de contourner cette double sécurité.
Rien à faire…
Car pendant que l’utilisateur s’identifie, le malware profite de la fonction d’accessibilité qui a été activée pour reproduire la saisie effectuée dans l’appli PayPal. Une fois connecté, il réalise un paiement de 1000 euros à destination de l’adresse de l’attaquant.
Selon les chercheurs en sécurité de l’ESET, le processus total ne prend pas plus de cinq secondes après l’authentification et il n’y a aucun moyen de l’interrompre. L’opération échoue dans deux cas seulement, si le compte PayPal n’est pas suffisamment approvisionné et/ou si aucune carte de crédit n’est liée au compte.
Pire encore, l’attaque et le virement auront lieu chaque fois que vous lancerez par la suite l’application PayPal ! A 1000 euros les cinq secondes d’attaque, cela peut vite coûter cher.
Du vol d’informations précieuses
Mais le cheval de Troie ne s’arrête pas là. Il télécharge des pages HTML pour cinq applications très populaires : Gmail, Google Play, Skype, Viber et WhatsApp. Ces pages vont se superposer à l’application. En fonction du programme visé, elles demandent l’identifiant et le mot de passe, pour Gmail, notamment qui sert souvent d’adresse pour la double authentification sur PayPal. Elles peuvent aussi demander à l’utilisateur de saisir ses identifiants bancaires. Le seul moyen de se débarrasser de ces écrans est de saisir du faux texte. Le bouton Home ou Retour sont en effet désactivés.
Et la routine habituelle
Enfin, le malware se livre aux exactions habituelles de ce genre de programme. A savoir qu’il va intercepter les SMS et changer l’application de SMS par défaut, toujours dans l’optique de récupérer des données ou de contourner une sécurité par double authentification. Il récupérera également votre liste de contacts, dressera un état des lieux des applications installées, etc. Un bon moyen de savoir pour la suite quelles applications attaquer. Un plan bien huilé, en quelque sorte.
Pour l’heure, afin d’éviter de tomber dans le piège de ce cheval de Troie, il vous suffira d’éviter de télécharger des applis en dehors du Play Store de Google. Par ailleurs, PayPal ayant été averti, il est fort probable que ses développeurs travaillent à produire une mise à jour qui bloquera cette attaque.
8 applications Android espionnent près de 2 milliards de personnes
Huit applications mobiles sur Android sont placées au banc des accusés, alors qu’elles espionneraient près de 2 milliards de personnes dans le but de générer des revenus publicitaires frauduleux.
Plus tôt cette année, nous apprenions que 125 applications Android étaient impliquées dans une fraude. Celles-ci espionnaient les utilisateurs pour siphonner de l’argent aux annonceurs de Google.
Si ces 125 applications touchaient plus de 115 millions de personnes, voilà que 8 nouvelles applications utilisant sensiblement le même schéma de fraude pourraient quant à elles en toucher plus de 2 milliards!
Deux firmes chinoises accusées de détourner des revenus publicitaires
C’est une enquête du site Buzz Feed News en collaboration avec la société d’analyse serbe Kochava qui a levé le voile sur ces 8 applications frauduleuses et qui auraient été téléchargées plus de 2 milliards de fois.
Sept d’entre elles sont développées par la firme chinoise Cheetah Mobile, alors que la huitième elle a été développée par une autre société chinoise nommée Kika Tech.
- Clean Master
- Security Master
- CM Launcher 3D
- Kika Keyboard
- Battery Doctor
- Cheetah Keyboard
- CM Locker
- CM File Manager
Voici les applications frauduleuses et leur nombre de téléchargements.
L’arnaque est relativement bien ficelée, alors qu’une fois installées et qu’on leur accorde plusieurs autorisations sur notre téléphone ou tablette, ces applications se mettent alors à espionner nos moindres gestes.
Dans quel but? Celui d’extirper de l’argent aux annonceurs de Google en falsifiant les interactions que l’on a sur notre téléphone.
Ainsi, si on clique sur une bannière publicitaire d’un produit qui nous intéresse ou sur une page web, ces applications vont falsifier ces clics pour plutôt dire à Google que nous avons télécharger les applications des deux firmes chinoises.
Cela leur permettrait de mettre la main sur une cote de publicité allant de 50 cents à 3 dollars. Ça fait pas mal de bidous pour chaque clique!
Pour l’instant, seules les applications CM Locker et Battery Doctor ont été retirées du Play Store, avant de revenir quelques jours plus tard.
Google enquêterait présentement sur ces applications pour vérifier les allégations de l’enquête de Buzz Feed.
Dans tous les cas, il serait judicieux de supprimer ces applications si vous les avez sur votre téléphone ou votre tablette Android.
Source :
Blog de l’ESET