{"id":13754,"date":"2020-02-18T09:57:18","date_gmt":"2020-02-18T09:57:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=13754"},"modified":"2020-02-18T10:14:21","modified_gmt":"2020-02-18T10:14:21","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ginp-mobile-banking-trojan\/13754\/","title":{"rendered":"Le cheval de Troie mobile Ginp vous fait croire que vous avez re\u00e7u un SMS"},"content":{"rendered":"

Apr\u00e8s s\u2019\u00eatre infiltr\u00e9s dans votre t\u00e9l\u00e9phone, la plupart des chevaux de Troie bancaires essaient d\u2019acc\u00e9der \u00e0 vos SMS. Pour ce faire, ils interceptent le code \u00e0 usage unique envoy\u00e9 par la banque. Gr\u00e2ce \u00e0 ce code, les propri\u00e9taires du malware peuvent faire un paiement ou siphonner votre compte bancaire sans que vous vous en rendiez compte. D\u2019autre part, beaucoup de chevaux de Troie bancaires utilisent les SMS pour infecter d\u2019autres dispositifs puisqu\u2019ils envoient un lien de t\u00e9l\u00e9chargement infect\u00e9 aux contacts de la victime.<\/p>\n

Certaines applications malveillantes sont plus cr\u00e9atives et se servent de cet acc\u00e8s aux SMS pour distribuer d\u2019autres contenus en votre nom, comme des SMS offensifs<\/a>. Le malware Ginp, d\u00e9tect\u00e9 pour la premi\u00e8re fois en automne<\/a>, peut m\u00eame cr\u00e9er des messages entrants, et bien d\u2019autres choses, sur le t\u00e9l\u00e9phone de la victime alors que personne ne les a envoy\u00e9s. Commen\u00e7ons par le commencement.<\/p>\n

Capacit\u00e9s du cheval de Troie mobile Ginp<\/h2>\n

Tout d\u2019abord, Ginp a des comp\u00e9tences assez courantes dans le monde des chevaux de Troie bancaires. Il envoie le r\u00e9pertoire de la victime \u00e0 ses cr\u00e9ateurs, intercepte les SMS, vole les donn\u00e9es des cartes bancaires et cache les applications bancaires gr\u00e2ce \u00e0 des fen\u00eatres d\u2019hame\u00e7onnage.<\/p>\n

Ensuite, le malware exploite l\u2019accessibilit\u00e9<\/a>, un ensemble de caract\u00e9ristiques Android destin\u00e9s aux utilisateurs ayant des troubles de la vue. Ce n\u2019est pas si rare. Les chevaux de Troie bancaires, et bien d\u2019autres malwares, utilisent ces fonctions parce qu\u2019elles leurs permettent de voir tout ce qui se passe sur l\u2019\u00e9cran et peuvent m\u00eame \u00a0\u00bb\u00a0cliquer\u00a0\u00a0\u00bb sur des boutons ou des liens. En effet, ils peuvent compl\u00e8tement contr\u00f4ler votre t\u00e9l\u00e9phone.<\/p>\n

Les auteurs de Ginp ne s\u2019arr\u00eatent pas l\u00e0 puisqu\u2019ils r\u00e9approvisionnent constamment leur arsenal avec des capacit\u00e9s chaque fois plus inventives. Par exemple, le malware a commenc\u00e9 \u00e0 utiliser des notifications push et des messages pop-up pour que les victimes ouvrent certaines applications (imit\u00e9es par les fen\u00eatres d\u2019hame\u00e7onnage). Les notifications sont bien r\u00e9dig\u00e9es pour que les utilisateurs ne se doutent de rien lorsqu\u2019on leur demande de remplir un formulaire avec les donn\u00e9es de leur carte bancaire. Voici un exemple (en espagnol)\u00a0:<\/p>\n

Google Pay: Nos faltan los detalles de su tarjeta de cr\u00e9dito o d\u00e9bito. Utilice Play Store para agregarlos de manera segura.<\/em>(Google Pay : Il nous manque certaines informations sur votre carte de cr\u00e9dit ou de d\u00e9bit. Veuillez utiliser Play Store pour les ajouter en toute s\u00e9curit\u00e9.)<\/p>\n

Une fois dans l\u2019application Play Store, les utilisateurs trouvent, comme pr\u00e9vu, un formulaire qui leur demande de saisir les donn\u00e9es de leur carte bancaire. Pourtant, ce formulaire est affich\u00e9 par le cheval de Troie, et non par Google Play. Les donn\u00e9es saisies sont directement envoy\u00e9es aux cybercriminels.<\/p>\n

\"Fausse

Fausse fen\u00eatre \u2014 malheureusement tr\u00e8s convaincante \u2014 qui semble appartenir \u00e0 l\u2019application Play Store et qui demande \u00e0 l\u2019utilisateur de saisir les donn\u00e9es de sa carte bancaire<\/p><\/div>\n

\u00a0<\/p>\n

Ginp va au-del\u00e0 de Play Store puisque ce cheval de Troie affiche des notifications d\u2019applications bancaires\u00a0:<\/p>\n

B**A\u00a0: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26<\/em>(B**A\u00a0: Nous avons d\u00e9tect\u00e9 une activit\u00e9 suspecte sur le compte que vous avez \u00e0 B**A. Veuillez v\u00e9rifier vos derni\u00e8res op\u00e9rations et appeler le 91 *** ** 26)<\/p>\n

Bizarrement, les fausses notifications fournissent le v\u00e9ritable num\u00e9ro de t\u00e9l\u00e9phone de la banque donc, si vous appelez, la personne \u00e0 l\u2019autre bout du fil va certainement vous dire qu\u2019il n\u2019y a aucun probl\u00e8me avec votre compte. Cependant, si vous v\u00e9rifiez les \u00ab\u00a0op\u00e9rations suspectes\u00a0\u00bb avant d\u2019appeler votre banque, le malware imite l\u2019application bancaire, ouvre une fausse fen\u00eatre et vous demande de saisir les donn\u00e9es de la carte bancaire.<\/p>\n

Faux messages SMS tr\u00e8s convaincants<\/h2>\n

D\u00e9but f\u00e9vrier, notre syst\u00e8me Botnet Attack Tracking a d\u00e9tect\u00e9 une nouvelle fonction chez Ginp\u00a0: la capacit\u00e9 \u00e0 cr\u00e9er des faux SMS entrants. L\u2019objectif est le m\u00eame qu\u2019auparavant\u00a0: convaincre l\u2019utilisateur d\u2019ouvrir une application mais, cette fois, le cheval de Troie peut g\u00e9n\u00e9rer des SMS et inventer le contenu et l\u2019exp\u00e9diteur. Il n\u2019existe aucune solution qui emp\u00eache les cybercriminels d\u2019imiter les messages envoy\u00e9s par les banques ou Google.<\/p>\n

\"Message,

Message, soi-disant envoy\u00e9 par la banque, qui demande \u00e0 l\u2019utilisateur de confirmer un virement depuis l\u2019application mobile<\/p><\/div>\n

\u00a0<\/p>\n

M\u00eame si les utilisateurs font souvent glisser les notifications sans vraiment y faire attention, en g\u00e9n\u00e9ral ils lisent les messages re\u00e7us. Cela signifie qu\u2019il est fort probable que l\u2019utilisateur ouvre l\u2019application pour voir ce qui se passe sur son compte. C\u2019est l\u00e0 que le cheval de Troie envoie discr\u00e8tement un faux formulaire qui demande les donn\u00e9es de la carte bancaire.<\/p>\n

Comment se prot\u00e9ger de Ginp<\/h2>\n

Actuellement, Ginp s\u2019en prend surtout aux utilisateurs qui se trouvent en Espagne, mais il a chang\u00e9 plusieurs fois de tactique. La Pologne et le Royaume-Uni \u00e9taient ses cibles habituelles. M\u00eame si vous vivez dans un autre pays, n\u2019oubliez jamais les r\u00e8gles de base de la cybers\u00e9curit\u00e9. Pour ne pas \u00eatre victime d\u2019un cheval de Troie bancaire\u00a0:<\/p>\n