Publicité
Tech by VICE

Regardez un malware Android tenter de voler 1000 euros en cinq secondes

Le programme prend le contrôle du compte PayPal de ses victimes en exploitant les Services d'accessibilité du téléphone.

par Lorenzo Franceschi-Bicchierai
21 Décembre 2018, 7:30am

Image : ESET/YouTube 

Un nouveau malware pour appareils Android peut voler 1 000 euros à ses victimes en cinq secondes via Paypal.

L’entreprise de cybersécurité ESET a découvert le programme malveillant au mois de novembre dernier. Dans un billet de blog publié le 11 décembre dernier, ses experts expliquent que le malware prend la forme d’une application d’optimisation de la batterie appelée Android Optimization.

Android Optimization n’est distribué que sur des magasins d’application tiers — vous ne le trouverez pas sur Google Play. Cela ne signifie pas pour autant qu’il est « de mauvaise qualité » : en fait, il utilise astucieusement les services d’accessibilité de Google pour conduire l’utilisateur à ouvrir son smartphone aux malfrats.

Au lancement, Android Optimization demande la permission d’« activer les statistiques ». Cette fonctionnalité d’aspect innocent permet au malware et à ses créateurs de recevoir une notification quand l’utilisateur interagit avec certaines applications, mais aussi d’observer ces interactions. En d’autres termes, les cybercriminels peuvent prendre le contrôle du téléphone à distance quand son propriétaire lance certaines applications. Dans ce cas précis : PayPal, Google Play, WhatsApp, Skype, Viber, Gmail et plusieurs applications bancaires.

La fonctionnalité la plus dangereuse du malware s’active quand l’utilisateur lance l’application payPal. À ce moment-là, s’ils ont approuvé « l’activation des statistiques », le programme prend le contrôle et envoie un paiement aux criminels. Un tour de passe-passe qui fonctionne même quand l’identification à deux facteurs est activée, car le malware se contente d’attendre que l’utilisateur soit connecté.

La vidéo ci-dessous montre le déroulement d'une attaque (ratée, faute de carte à détrousser).

« L’ensemble du procédé prend environ cinq secondes », écrit Lukas Stefanenko, chercheur chez ESET, dans un billet de blog. « Les agresseurs échouent seulement si l’utilisateur ne dispose pas d’un solde PayPal suffisant ni d’une carte de paiement connectée à l’application. Le service d’accessibilité vérolé est activé chaque fois que l’application PayPal est lancée, ce qui signifie que l’attaque peut avoirlieu à plusieurs reprises. »

Stefanenko et ses collègues chercheurs à l’EST ont également découvert que le malware pouvait afficher des pages de phishing conçues pour ressembler à des applications bancaires, mais aussi à Gmail, WhatsApp, Skype et Viber, ce qui leur permet de demander les informations bancaires de la victime. »

La morale de l’histoire est simple et bien connue : ne faites pas confiance aux applications qui ne sont pas disponibles sur Google Play, à moins que vous ne sachiez ce que vous êtes en train de faire ou si vous connaissez leurs développeurs. Rien ne prouve que cette application qui promet de ravigoter votre batterie mourante ne va pas vider votre portefeuille.

Motherboard est aussi sur Facebook, Twitter et Flipboard.