23 Août 2017

Les chevaux de Troie sur les applications de réservation de taxi font leur arrivée

Actualité Malware Menaces

Vous êtes pressé, vous devez vous rendre au travail, à une réunion pro ou à un rendez-vous. Vous lancez donc votre application préférée pour réserver un taxi comme à votre abitude, sauf que cette fois, elle vous incite à saisir votre numéro de carte de crédit. Cela semble-t-il suspicieux ? Pas forcément, les applications oublient des informations, et tout ce que vous avez à faire est d’introduire de nouveau votre numéro de carte..

Néanmoins, après un certain temps, vous constatez que de l’argent a disparu de votre compte; Que s’est-il passé ? Vous avez été sûrement la victime malchanceuse d’un cheval de Troie mobile. Ce type de malware a été récemment découvert pour avoir détourné des données bancaires et imité l’interface des applications de réservation de taxi.

Le cheval de Troie Faketoken existe depuis longtemps, et s’est transformé au fil des années. Nos experts ont dénommé la version actuelle « Faketoken.q, ». Jusqu’à présent, il a appris un nombre considérable de combines.

Après avoir obtenu l’accès à un smartphone (à en juger par l’icône du logiciel malveillant, Faketoken s’infiltre dans les smartphones via des messages SMS en vrac avec une invitation à télécharger une image) et installer les modules nécessaires, le cheval de Troie masque son icône de raccourci et commence la surveillance de fond de tout ce qui se passe sur le système.

L’icône du cheval de Troie Faketoken installé

 

Premièrement, le cheval de Troie s’intéresse aux appels de l’utilisateur. Dès qu’il détecte un appel, il commence à l’enregistrer. Lorsque l’appel est fini, Faketoken envoie l’enregistrement au serveur du cybercriminel. Deuxièmement, le cheval de Troie vérifie également quelles applications le propriétaire du smartphone utilise.

Lorsque Faketoken détecte le lancement d’une application dont l’interface peut être imitée, le cheval de Troie recouvre immédiatement l’application avec son propre écran. Pour y arriver, il utilise une fonctionnalité standard d’Android qui est compatible avec les superpositions d’écran de toutes les autres applications : toute une série d’applications légitimes, telles que les messageries, les gestionnaires de fenêtres, etc, utilisent cette fonctionnalité.

La fenêtre de recouvrement correspond aux couleurs de l’interface de l’application originale. Sur cette fenêtre, le cheval de Troie incite l’utilisateur à saisir le numéro de sa carte de crédit, y compris le code de vérification au dos de la carte.

Le cheval de Troie Faketoken.q imite les applications de réservation de taxi populaires en Russie

 

En réalité, Faketoken.q est à l’affût d’une grande variété d’applications qui ont une chose en commun : que la demande de saisie des données de paiement paraisse normale, assez pour qu’elle n’éveille pas les soupçons. Parmi les applications attaquées, on trouve un certain nombre d’applications bancaires mobiles, Android Play, Google Play Store, des applications pour réserver des vols et des chambres d’hôtels, et des applications pour payer des contraventions, ainsi que des applications pour réserver des taxis.

Au cours de l’étape de détournement de l’argent de l’utilisateur, Faketoken a recours à une autre ruse, celle d’intercepter tous les messages SMS entrants, en les dissimulant à l’utilisateur, en les acheminant vers le serveur du cybercriminel, où les mots de passe uniques pour la confirmation du paiement depuis ces messages sont extraits.

A en juger le petit nombre d’attaques que nous avons enregistré et les artefacts de l’interface utilisateur, que vous pouvez voir dans une des captures d’écran ci-dessus, nous dirions que les chercheurs de notre laboratoire d’antivirus ont mis la main sur l’une des versions de test du cheval de Troie, et ce n’est pas la dernière.

Nous devons donner aux créateurs assidus de Faketoken une bonne leçon. Ils vont probablement améliorer le cheval de Troie, et une vague d’incidents pourrait surgir de la version « commerciale » à tout moment.

Actuellement, le cheval de Troie se concentre sur les utilisateurs en Russie, mais comme nous l’avons vu plusieurs fois par le passé, les cybercriminels se piquent sans cesse les idées les uns les autres, par conséquent, il ne leur faudra pas beaucoup de temps pour adopter la même combine dans d’autres pays. De nos jours, beaucoup de citadins ont des applications de réservation de taxi installées, par conséquent cette combine représente une bonne opportunité pour les créateurs de malwares.

Ci-dessous, vous avez quelques conseils sur la façon de vous protéger contre Faketoken et les chevaux de Troie mobiles similaires qui détournent des numéros de carte et interceptent des messages SMS avec des mots de passe à usage unique pour confirmer les paiements.

  • Il est impératif que vous vous rendiez dans les paramètres d’Android et que vous interdisiez l’installation des applications provenant de sources inconnues. Pour bloquer l’installation de sources inconnues, allez dans Paramètres -> Sécurité et décochez Sources inconnues.