Les chevaux de Troie qui souscrivent des abonnements sont une méthode ancestrale et particulièrement efficaces lorsqu’il s’agit de dérober l’argent que les utilisateurs Android ont durement gagné. Ils s’infiltrent dans le smartphone en se faisant passer pour une application utile et s’abonnent discrètement à des services payants. Souvent, pour ne pas dire toujours, l’abonnement est authentique, sauf que l’utilisateur n’en a pas besoin.
Les créateurs de ces chevaux de Troie gagnent de l’argent grâce aux commissions. En d’autres termes, ils reçoivent un certain pourcentage de l’argent dépensé par l’utilisateur. Dans ce cas, les fonds sont généralement déduits du compte du téléphone, même si, dans certaines situations, ils peuvent être directement débités d’une carte bancaire. Les experts de Kaspersky vous présentent les chevaux de Troie mobiles les plus remarquables de l’année dernière qui souscrivent des abonnements.
Des abonnements payants et des codes de confirmation reçus par SMS
Les chevaux de Troie des familles Jocker sont généralement distribués via Google Play. Les cybercriminels ajoutent un code malveillant à d’authentiques applications utiles et les téléchargent sur la boutique en utilisant un nom différent. Il peut s’agir, par exemple, d’applications de messagerie, de contrôle de la pression artérielle ou d’un scanner de documents. Les modérateurs de Google Play essaient d’identifier ces applications, mais les nouvelles applications malveillantes apparaissent plus vite que celles détectées et supprimées.
Voyons maintenant comment un cheval de Troie souscrit un abonnement. Normalement, pour s’abonner à un service l’utilisateur doit se rendre sur le site du fournisseur et cliquer sur le bouton » S’abonner « . Pour bloquer les tentatives d’abonnement automatique, les fournisseurs de services demandent à l’utilisateur de vérifier l’action en saisissant le code envoyé par SMS. Malheureusement, le malware de la famille Jocker peut contourner cette méthode de protection.
Une fois que l’application infectée est installée sur le dispositif, elle demande souvent à l’utilisateur d’autoriser l’accès aux messages. Ensuite, le cheval de Troie ouvre la page dans une fenêtre invisible, choisit l’abonnement, simule le clic sur le bouton de souscription, vole le code de confirmation reçu par SMS et s’abonne sans aucun problème.
Si l’application n’a pas besoin d’accéder aux messages pour fonctionner (pourquoi autoriser un scanner de documents, par exemple), le cheval de Troie de la famille Jocker demande à avoir accès aux notifications. Cela lui permet de voler le code de confirmation, comme dans la situation antérieure, mais cette fois grâce à la notification d’un nouveau message.
Comment les chevaux de Troie qui souscrivent des abonnements déjouent le CAPTCHA
Les chevaux de Troie de la famille MobOk sont un peu plus sophistiqués. Ils volent les codes de confirmation reçus par SMS ou par notification, mais arrivent aussi à déjouer le CAPTCHA, une autre méthode de protection contre les abonnements automatiques. Pour reconnaître le code dans l’image, le cheval de Troie l’envoie à un service spécial. L’année dernière, nous avons étudié l’opération des fermes à clics qui proposent des services de reconnaissance de CAPTCHA.
À d’autres égards, ce malware fonctionne de la même façon que les chevaux de Troie de la famille Jocker. Dans plusieurs cas, MobOk était distribué comme charge utile du cheval de Troie Triada, et le plus souvent via des applications préinstallées sur certains modèles de smartphones, dont les mises à jour non officielles de WhatsApp ou la boutique alternative d’applications APKPure. Certaines applications infectées par MobOk sont parfois disponibles sur Google Play.
Les chevaux de Troie qui souscrivent des abonnements à partir de sources non-officielles
Le malware de la famille Vesub est aussi distribué via des sources douteuses et se fait passer pour des applications qui ont été bannies des boutiques officielles pour une quelconque raison. Par exemple, elles se présentent comme des applications qui permettent de télécharger le contenu de YouTube ou d’autres services de streaming comme Tubemate ou Vidmate, ou comme la version Android non-officielle de GTA5. De plus, elles peuvent aussi apparaître comme les versions gratuites de célèbres applications payantes comme Minecraft.
Contrairement aux malwares des familles MobOk et Jocker, les applications infectées par Vesub ne font généralement rien d’utile pour l’utilisateur. Une fois installées, elles s’abonnent à un service non désiré et cache les fenêtres pertinentes à l’utilisateur tout en montrant la fenêtre de chargement de l’application. L’application infectée par MobOk peut parfois s’avérer utile, mais c’est assez exceptionnel.
Se connecter avec un numéro de téléphone
Les chevaux de Troie GriftHorse.ae sont moins sophistiqués. Lorsqu’ils s’exécutent pour la première fois, ils demandent à l’utilisateur de saisir son numéro de téléphone, soi-disant pour pouvoir se connecter. L’abonnement est souscrit dès que l’utilisateur le saisit et clique sur le bouton » Se connecter « , et le montant est débité du compte mobile. Ce malware se présente souvent comme une application qui permet de récupérer les fichiers supprimés, d’éditer les photos et les vidéos, de faire clignoter le flash lors d’un appel entrant, d’utiliser le GPS, de scanner les documents, de traduire, etc. En réalité, les applications infectées n’offrent rien d’utile.
Les abonnements par prélèvement automatique
Même si le nom est similaire, les chevaux de Troie GriftHorse.l ont une stratégie différente : ils utilisent des abonnements avec des paiements récurrents. Officiellement, cela n’est possible qu’avec l’accord direct de l’utilisateur, mais les victimes pourraient ne pas se rendre compte qu’elles autorisent un prélèvement automatique. La seconde astuce consiste à effectuer un premier paiement insignifiant, puis à augmenter de façon significative le montant des prélèvements suivants.
Nous avons déjà étudié une technique similaire lorsque de faux sites proposaient de s’abonner à des cours de formation. Dans ce cas, le mécanisme est à peu près le même mais il est mis en œuvre dans l’application. Le cheval de Troie est largement distribué sur Google Play et l’argent est directement débité d’une carte bancaire, puisque les informations bancaires sont demandées pour avoir accès au contenu.
Comment ne pas être victime des escrocs
Annuler un abonnement payant non désiré peut s’avérer difficile. Comme d’habitude, il vaut mieux prévenir que guérir. Voici quelques conseils à suivre pour vous protéger contre les chevaux de Troie qui souscrivent des abonnements :
- N’installez pas les applications de sources non-officielles. Ce comportement va nettement améliorer la sécurité de votre appareil.
- Les sources officielles sont beaucoup plus fiables mais pas sûres à 100 %. Ainsi, avant de télécharger une application sur Google Play ou sur une autre boutique, vous devez lire les avis et les notes attribuées.
- Vérifiez depuis quand l’application est disponible sur la plateforme. Les boutiques suppriment les fausses applications de façon proactive mais les escrocs créent toujours de nouvelles versions d’applications infectées. Si l’application que vous voulez installer n’est disponible que depuis peu, méfiez-vous.
- Donnez aux applications un accès minimal à votre appareil. Avant d’autoriser une application à lire vos messages et vos notifications, demandez-vous si cela est vraiment nécessaire.
- Installez un antivirus mobile fiable afin de protéger votre téléphone contre tous les dangers numériques, dont les chevaux de Troie qui souscrivent des abonnements.