Les chevaux des Troie bancaires : la principale menace des téléphones mobiles

30 Sep 2015

De nos jours, les smartphones sont en plein essor. Ces deux dernières années, des études ont révélé que plus de 50 % des appareils mobiles utilisés par les consommateurs étaient des smartphones. Par conséquent, un problème majeur est survenu : les cybermenaces ciblant les mobiles. Tandis que les utilisateurs des ordinateurs sont déjà habitués à une « hygiène de sécurité » de base, la plupart des utilisateurs de smartphone pensent toujours que leur appareil n’est « qu’un téléphone », l’incluant dans la même catégorie qu’un fer à repasser ou qu’une machine à laver. Alors pourquoi s’en préoccuperaient-ils ?

 Les smartphones d’aujourd’hui sont de vrais ordinateurs qui sont bien plus puissants que les ordinateurs de bureau que vous utilisiez il y a une dizaine d’années. D’ailleurs, c’est un ordinateur dangereux. En principe, le disque dur de votre ordinateur ne contient sûrement rien qui n’ait de la valeur, appart quelques documents de vos études à l’université et quelques photos de vos dernières vacances. Par contre, il y a de fortes chances pour que votre smartphone contienne des données qui vous sont de grande valeur, et qui intéresseront aussi les cybercriminels.

De ce fait, si vous possédez un smartphone, en général, vous disposez aussi d’une carte bancaire. Comme les banques utilisent votre numéro de téléphone pour envoyer des confirmations d’autorisation (comme les mots de passe à usage unique qui sont envoyés par SMS), il est logique que les cybercriminels veuillent pénétrer dans votre système par le biais de cette voie de communication et qu’ils effectuent des paiements et des transferts à partir de votre compte bancaire.

Cela étant dit, il n’y a donc rien d’étonnant au fait que les chevaux de Troie bancaires représentent les menaces mobiles les plus importantes : ils correspondent à plus de 95% des malwares mobiles. Plus de 98% des attaques bancaires sur téléphone ciblent les appareils Android, ce qui ne nous surprend pas non plus. Android est la plateforme téléphonique la plus utilisée au monde (elle représente plus de 80% des marchés de smartphones mondiaux). De toutes les plateformes téléphoniques populaires, seul Android autorise l’installation d’applications qui ne proviennent pas de sa boutique officielle.

Même si les chevaux de Troie sont moins dangereux que les virus, car pour infecter des systèmes, ils nécessitent que les utilisateurs fassent certaines manipulations, de nombreuses techniques d’ingénierie sociale peuvent tromper un utilisateur afin qu’il installe un cheval de Troie. Par exemple, elles peuvent prendre la forme d’une mise à jour importante ou d’un niveau bonus dans votre jeu vidéo préféré. En outre, les nombreux exploits sont capables de faire fonctionner le malware automatiquement, une fois que l’utilisateur a accidentellement exécuté le fichier malveillant.

Les chevaux de Troie utilisent principalement trois méthodes :

  • Cacher le texte : les malwares mobiles cachent les SMS entrants des banques, puis ils les envoient aux criminels qui peuvent transférer l’argent vers leurs comptes.
  • Des petits mouvements de trésorerie : les auteurs de malwares transfèrent occasionnellement des petites sommes d’argent vers des comptes frauduleux à partir du compte d’un utilisateur infecté.
  • Imitation d’application : les malwares imitent les applications mobiles des banques. Une fois qu’ils possèdent les identifiants d’utilisateur de leurs victimes, ils peuvent se connecter à la vraie application et réaliser les deux actions mentionnées précédemment.

Les chevaux de Troie les plus importants (plus de 50 % d’entre eux) ciblent la Russie et les pays qui font partis de la Communauté des États indépendants ainsi que l’Inde et le Vietnam. Dernièrement, la nouvelle génération de malwares mobiles universels est en augmentation. Cette dernière est capable de télécharger les profils mis à jour de différentes banques étrangères qui se trouvent aux États-Unis, en Allemagne et au Royaume-Uni.

Le grand-père des chevaux de Troie mobiles se nomme Zeus, alias Zitmo (Zeus-in-the-mobile). Il a refait surface en 2010 (son ancêtre ciblait les ordinateurs, il s’appelait aussi Zeus et il avait été conçu en 2006). Ce malware a réussi à infecter plus de 3,5 millions d’appareils aux États-Unis seulement. De ce fait, il a créé le plus grand botnet de l’histoire.

Il s’agit d’un malware classique : il permet de garder les identifiants de connexion qu’un utilisateur inscrit préalablement dans l’interface de la banque mobile. Il les envoie ensuite à un criminel qui est capable de se connecter dans le système en utilisant les identifiants piratés et exécute alors des transactions indésirables (Zitmo était même capable de contourner l’authentification à deux facteurs).

De plus, grâce à Zeus, les escrocs ont réussi à s’échapper avec plus de 74 000 mots de passe FTP de différents sites Internet (y compris celui de la Bank of America). Ils ont changé leur code de telle façon à ce qu’il soit possible d’extraire des données des cartes bancaires après chaque tentative de paiement. Zeus était très actif jusqu’à la fin des années 2013, puis il a commencé à être devancé par Xtreme RAT, un programme plus récent. Néanmoins, le noyau du cheval de Troie est toujours à la mode parmi les ingénieurs de malwares.

C’est en 2011 qu’a émergé SpyEye, l’un des chevaux de Troie bancaires qui a infecté le plus de personnes dans l’histoire. Son créateur, Alexander Panin, vendait le code sur le marché noir pour un prix allant de 1,000 à 8,500 dollars. Selon le FBI, qui a découvert qu’Alexander Panin était le créateur du SpyEye, il y avait un total de 150 acheteurs. Ces derniers modifiaient le cheval de Troie pour voler de l’argent à plusieurs banques. Un des escrocs a même réussi à voler plus de 3,2 millions de dollars en seulement six mois.

Un autre type de cheval de Troie a été découvert en 2012 : Carberp. Ce composant imitait les applications Android des principales banques russes, comme Sberbank et l’Alfa Bank, et il ciblait les utilisateurs qui étaient en Russie, en Biélorussie, au Kazakhstan, en Moldavie et en Ukraine. Curieusement, les criminels étaient capables de publier de fausses applications sur Google Play.

Le groupe cybercriminel, qui comprenait 28 membres, a été arrêté pendant une opération conjointe de la Russie et de l’Ukraine. Néanmoins, le code source de Carberp a été publié en 2013, donc n’importe qui pouvait l’utiliser pour concevoir son propre malware. Tandis que le Carberp original avait été essentiellement conçu pour les anciens pays de l’union soviétique, ses clones ont été détectés dans le monde entier, y compris aux États-Unis, en Europe et en Amérique latine.

C’est en 2013, que Hesperbot a commencé à infecter les dispositifs de certaines personnes. Le malware a été élaboré en Turquie, et il a été répandu dans le monde entier en commençant par le Portugal et la République Tchèque. En plus des nombreux problèmes qui en émergent, ce cheval de Troie créé un serveur VNC caché sur le smartphone infecté. Celui-ci permet à un pirate de contrôler l’appareil à distance.

Même après avoir supprimé le cheval de Troie, les attaqueurs peuvent toujours contrôler l’appareil à distance. Ils peuvent donc pirater tous les messages comme si l’appareil était entre leurs mains, ce qui par la suite leur permet d’installer le malware. De plus, Hesperbot a agi non seulement comme un cheval de Troie bancaire, mais aussi comme un voleur de Bitcoin. Hesperbot est propagé par des campagnes d’hameçonnage qui imitent les services de messagerie.

Le code source d’Android.iBanking a été révélé en 2014. iBanking est un kit de bout en bout pour pirater les SMS et contrôler les appareils à distance. Sa valeur est estimée à 5000 dollars. La publication du code a donné lieu à une épidémie d’infections.

Le kit comprend un code malveillant qui remplace une application bancaire légitime (l’application originale est totalement opérationnelle mais elle a été modifiée afin d’inclure plus de fonctions) ainsi qu’un programme Windows avec une interface graphique convenable. Celle-ci permet de contrôler tous les smartphones affectés à partir d’une liste qui est automatiquement mise à jour pour ajouter de nouvelles victimes.

Il est fascinant de voir que malgré l’existence d’une version gratuite du malware, la version payante du kit est bien plus populaire. Les utilisateurs premium obtiennent des mises à jour régulières du produit ainsi qu’un support technique. Fin 2014, deux chevaux de Troie supplémentaires ont été découverts sur Google Play : ils ciblaient le Brésil et ont été créés sans aucune habilité de programmation particulière, ils se basaient simplement sur la version originale du kit.

Quand il s’agit d’attaques bancaires, le Brésil possède une géographie particulière. Cela peut être expliqué par la popularité de Boleto, un système de paiement mobile. Il permet aux utilisateurs de transférer l’argent à un autre utilisateur par des chèques virtuels qui possèdent un identificateur de paiement unique. Celui-ci est transformé et affiché en tant que code barre puis il est scanné par l’appareil photo du téléphone du destinataire.

Les chevaux de Troie spéciaux qui ciblent les utilisateurs de Boleto (du type d’Infostealer.Boleteiro), piratent les chèques crées dès qu’ils apparaissent sur le serveur et ils les modifient sur le champ pour les envoyer à l’attaqueur.

De plus, les chevaux de Troie contrôlent l’identifiant qui a été saisit dans le système Boleto sur les sites Internet et sur les applications bancaires (au cours du réapprovisionnement du compte dans le système) et ils échangent clandestinement un identifiant légitime avec des identifiants indésirables.

En juin 2015, un nouveau cheval de Troie a été découvert en Russie : l’Android.Bankbot.65. Il est apparu au départ comme étant le patch officiel de l’application en ligne de Sberbank et il offrait « de nombreuses fonctions de banque mobile », qui étaient disponibles après l’installation de la « nouvelle version ».

En réalité, l’application est toujours un outil fonctionnel de la banque mobile, donc les utilisateurs ne se sont pas aperçus de l’échange. Par conséquent, en juillet, 100 000 utilisateurs de Sberbank ont déclaré une perte d’un total d’environ de 2 milliards de roubles, soit 26 millions d’euros. Ils utilisaient tous l’application indésirable de « Sberbank Online ».

Il est évident que l’histoire des chevaux de Troie bancaires continue d’être écrite aujourd’hui : de plus en plus de nouvelles applications sont créées, et les pirates informatiques inventent de plus en plus de techniques afin que les utilisateurs tombent dans leur piège. L’heure est donc venue de protéger correctement vos smartphones.