{"id":18748,"date":"2022-04-14T15:59:12","date_gmt":"2022-04-14T13:59:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18748"},"modified":"2022-04-14T15:59:12","modified_gmt":"2022-04-14T13:59:12","slug":"fakecalls-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fakecalls-banking-trojan\/18748\/","title":{"rendered":"Cheval de Troie parlant : attention aux faux appels"},"content":{"rendered":"

Les cybercriminels ne sont jamais \u00e0 court de logiciels malveillants. Pire, ils deviennent de plus en plus sophistiqu\u00e9s ! L\u2019ann\u00e9e derni\u00e8re, par exemple, a vu l\u2019apparition d\u2019un cheval de Troie bancaire inhabituel appel\u00e9 Fakecalls. Outre les classiques dispositifs d\u2019espionnage, il dispose \u00e9galement d\u2019une capacit\u00e9 int\u00e9ressante : celle de \u00a0\u00bb discuter \u00a0\u00bb avec sa victime en se faisant passer pour un employ\u00e9 de banque. Les informations sur Fakecalls disponibles en ligne sont encore peu nombreuses, aussi avons-nous d\u00e9cid\u00e9 de faire la lumi\u00e8re sur ses capacit\u00e9s.<\/p>\n

Un cheval de Troie sous couverture<\/h2>\n

Fakecalls se dissimule sous les traites de certaines des applications mobiles de banques cor\u00e9ennes les plus populaires, parmi lesquelles KB (Kookmin Bank) et KakaoBank. Curieusement, en plus des logos habituels, les cr\u00e9ateurs du cheval de Troie affichent les num\u00e9ros d\u2019assistance des banques respectives sur l\u2019\u00e9cran Fakecalls. Ces num\u00e9ros de t\u00e9l\u00e9phone semblent r\u00e9els. Le num\u00e9ro 1599-3333, par exemple, se trouve sur la page principale du site officiel de KakaoBank.<\/p>\n

\"Le

Le cheval de Troie imite les applications bancaires KB (\u00e0 gauche) et KakaoBank (\u00e0 droite)<\/p><\/div>\n

Une fois install\u00e9, le cheval de Troie demande imm\u00e9diatement toute une s\u00e9rie d\u2019autorisations, notamment l\u2019acc\u00e8s aux contacts, au microphone et \u00e0 la cam\u00e9ra, la g\u00e9olocalisation, la gestion des appels, etc.<\/p>\n

L\u2019appel \u00e0 la banque<\/h2>\n

Contrairement \u00e0 d\u2019autres chevaux de Troie bancaires, Fakecalls peut imiter des conversations t\u00e9l\u00e9phoniques avec le service client\u00e8le. Si la victime appelle la hotline de la banque, le cheval de Troie rompt discr\u00e8tement la connexion et ouvre son propre faux \u00e9cran d\u2019appel au lieu de l\u2019application d\u2019appel habituelle. L\u2019appel semble normal, mais en r\u00e9alit\u00e9 les hackers ont pris le contr\u00f4le de la ligne.<\/p>\n

La seule chose qui pourrait trahir le cheval de Troie \u00e0 ce stade est le faux \u00e9cran d\u2019appel. Fakecalls ne dispose que d\u2019un seul langage d\u2019interface : le cor\u00e9en. Cela signifie que si une autre langue est s\u00e9lectionn\u00e9e au t\u00e9l\u00e9phone, le fran\u00e7ais, par exemple, ou l\u2019anglais, la victime se rendra compte probablement de l\u2019arnaque.<\/p>\n

\"L'\u00e9cran

L\u2019\u00e9cran standard de l\u2019application d\u2019appel (\u00e0 gauche) et l\u2019\u00e9cran de Fakecalls (\u00e0 droite)<\/p><\/div>\n

Apr\u00e8s l\u2019interception de l\u2019appel, deux sc\u00e9narios sont possibles. Dans le premier cas, Fakecalls met la victime en contact direct avec les cybercriminels, puisque l\u2019application a la permission de passer des appels sortants. Dans le second, le cheval de Troie diffuse un son pr\u00e9enregistr\u00e9 imitant le message d\u2019accueil habituel de la banque.<\/p>\n

\"Fragment

Fragment de code Fakecalls qui joue un son pr\u00e9enregistr\u00e9 pendant un appel sortant<\/p><\/div>\n

Pour que le cheval de Troie entretienne un dialogue r\u00e9aliste avec la victime, les cybercriminels ont enregistr\u00e9 plusieurs phrases (en cor\u00e9en) g\u00e9n\u00e9ralement prononc\u00e9es par des employ\u00e9s de bo\u00eetes vocales ou de centres d\u2019appels. Par exemple, la victime pourrait entendre quelque chose comme ceci : \u00a0\u00bb Bonjour. Merci d\u2019avoir appel\u00e9 KakaoBank. Notre centre d\u2019appels re\u00e7oit actuellement un volume d\u2019appels anormalement \u00e9lev\u00e9. Un consultant reviendra vers vous d\u00e8s que possible. <\u2026> Pour am\u00e9liorer la qualit\u00e9 de notre service, votre conversation sera enregistr\u00e9e. \u00a0\u00bb Ou encore : \u00a0\u00bb Bienvenue \u00e0 la banque Kookmin. Votre conversation sera enregistr\u00e9e. Nous allons vous mettre en contact avec un op\u00e9rateur. \u00a0\u00bb<\/p>\n

Ensuite, les attaquants, se faisant toujours passer pour un employ\u00e9 de la banque, peuvent essayer de soutirer des informations de paiement ou d\u2019autres donn\u00e9es confidentielles \u00e0 la victime.<\/p>\n

En plus des appels sortants, Fakecalls peut \u00e9galement falsifier les appels entrants. Lorsque les cybercriminels veulent contacter la victime, le cheval de Troie affiche son propre \u00e9cran par-dessus celui du syst\u00e8me. Par cons\u00e9quent, l\u2019utilisateur ne voit pas le v\u00e9ritable num\u00e9ro utilis\u00e9 par les cybercriminels, mais celui affich\u00e9 par le cheval de Troie, comme par exemple le num\u00e9ro de t\u00e9l\u00e9phone du service d\u2019assistance de la banque.<\/p>\n

Les capacit\u00e9s des logiciels espions<\/h2>\n

En plus d\u2019imiter l\u2019assistance t\u00e9l\u00e9phonique, Fakecalls pr\u00e9sente d\u2019autres caract\u00e9ristiques typiques des chevaux de Troie bancaires. Par exemple, sur ordre des hackers, le logiciel malveillant peut activer le microphone du t\u00e9l\u00e9phone de la victime et envoyer des enregistrements de celui-ci \u00e0 leur serveur, ainsi que diffuser secr\u00e8tement de l\u2019audio et de la vid\u00e9o du t\u00e9l\u00e9phone en temps r\u00e9el.<\/p>\n

Et ce n\u2019est pas tout. Vous vous souvenez des autorisations demand\u00e9es par le cheval de Troie lors de l\u2019installation ? Les cybercriminels peuvent les utiliser pour d\u00e9terminer la localisation de l\u2019appareil, copier la liste des contacts ou les fichiers (y compris les photos et les vid\u00e9os) du t\u00e9l\u00e9phone sur leur serveur, et acc\u00e9der \u00e0 l\u2019historique des appels et des messages.<\/p>\n

Ces autorisations permettent au logiciel malveillant non seulement d\u2019espionner l\u2019utilisateur, mais aussi de contr\u00f4ler son appareil dans une certaine mesure, ce qui donne au cheval de Troie la possibilit\u00e9 de supprimer les appels entrants et de les effacer de l\u2019historique. Cela permet aux escrocs, entre autres, de bloquer et de cacher les appels r\u00e9els des banques.<\/p>\n

Les outils de Kaspersky d\u00e9tectent ce malware avec le diagnostic Trojan-Banker.AndroidOS.Fakecalls<\/em>, et prot\u00e8gent l\u2019appareil.<\/p>\n

Comment se prot\u00e9ger ?<\/h2>\n

Pour \u00e9viter que vos donn\u00e9es personnelles et votre argent ne tombent entre les mains de cybercriminels, quelques conseils simples :<\/p>\n