{"id":18875,"date":"2022-05-11T09:38:51","date_gmt":"2022-05-11T07:38:51","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18875"},"modified":"2022-05-11T09:38:51","modified_gmt":"2022-05-11T07:38:51","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/trojans-subscribers-2022\/18875\/","title":{"rendered":"Des chevaux de Troie qui souscrivent des abonnements"},"content":{"rendered":"

Les chevaux de Troie qui souscrivent des abonnements sont une m\u00e9thode ancestrale et particuli\u00e8rement efficaces lorsqu\u2019il s\u2019agit de d\u00e9rober l\u2019argent que les utilisateurs Android ont durement gagn\u00e9. Ils s\u2019infiltrent dans le smartphone en se faisant passer pour une application utile et s\u2019abonnent discr\u00e8tement \u00e0 des services payants. Souvent, pour ne pas dire toujours, l\u2019abonnement est authentique, sauf que l\u2019utilisateur n\u2019en a pas besoin.<\/p>\n

Les cr\u00e9ateurs de ces chevaux de Troie gagnent de l\u2019argent gr\u00e2ce aux commissions. En d\u2019autres termes, ils re\u00e7oivent un certain pourcentage de l\u2019argent d\u00e9pens\u00e9 par l\u2019utilisateur. Dans ce cas, les fonds sont g\u00e9n\u00e9ralement d\u00e9duits du compte du t\u00e9l\u00e9phone, m\u00eame si, dans certaines situations, ils peuvent \u00eatre directement d\u00e9bit\u00e9s d\u2019une carte bancaire. Les experts de Kaspersky vous pr\u00e9sentent les chevaux de Troie mobiles les plus remarquables de l\u2019ann\u00e9e derni\u00e8re<\/a> qui souscrivent des abonnements.<\/p>\n

\u00a0<\/p>\n

Des abonnements payants et des codes de confirmation re\u00e7us par SMS<\/h2>\n

Les chevaux de Troie des familles Jocker sont g\u00e9n\u00e9ralement distribu\u00e9s via Google Play. Les cybercriminels ajoutent un code malveillant \u00e0 d\u2019authentiques applications utiles et les t\u00e9l\u00e9chargent sur la boutique en utilisant un nom diff\u00e9rent. Il peut s\u2019agir, par exemple, d\u2019applications de messagerie, de contr\u00f4le de la pression art\u00e9rielle ou d\u2019un scanner de documents. Les mod\u00e9rateurs de Google Play essaient d\u2019identifier ces applications, mais les nouvelles applications malveillantes apparaissent plus vite que celles d\u00e9tect\u00e9es et supprim\u00e9es.<\/p>\n

\"Certaines

Certaines des applications qui \u00e9taient disponibles dans Google Play et infect\u00e9es par le cheval de Troie Jocker<\/p><\/div>\n

Voyons maintenant comment un cheval de Troie souscrit un abonnement. Normalement, pour s\u2019abonner \u00e0 un service l\u2019utilisateur doit se rendre sur le site du fournisseur et cliquer sur le bouton \u00a0\u00bb\u00a0S\u2019abonner\u00a0\u00ab\u00a0. Pour bloquer les tentatives d\u2019abonnement automatique, les fournisseurs de services demandent \u00e0 l\u2019utilisateur de v\u00e9rifier l\u2019action en saisissant le code envoy\u00e9 par SMS. Malheureusement, le malware de la famille Jocker peut contourner cette m\u00e9thode de protection.<\/p>\n

Une fois que l\u2019application infect\u00e9e est install\u00e9e sur le dispositif, elle demande souvent \u00e0 l\u2019utilisateur d\u2019autoriser l\u2019acc\u00e8s aux messages. Ensuite, le cheval de Troie ouvre la page dans une fen\u00eatre invisible, choisit l\u2019abonnement, simule le clic sur le bouton de souscription, vole le code de confirmation re\u00e7u par SMS et s\u2019abonne sans aucun probl\u00e8me.<\/p>\n

Si l\u2019application n\u2019a pas besoin d\u2019acc\u00e9der aux messages pour fonctionner (pourquoi autoriser un scanner de documents, par exemple), le cheval de Troie de la famille Jocker demande \u00e0 avoir acc\u00e8s aux notifications. Cela lui permet de voler le code de confirmation, comme dans la situation ant\u00e9rieure, mais cette fois gr\u00e2ce \u00e0 la notification d\u2019un nouveau message.<\/p>\n

Comment les chevaux de Troie qui souscrivent des abonnements d\u00e9jouent le CAPTCHA<\/h2>\n

Les chevaux de Troie de la famille MobOk sont un peu plus sophistiqu\u00e9s. Ils volent les codes de confirmation re\u00e7us par SMS ou par notification, mais arrivent aussi \u00e0 d\u00e9jouer le CAPTCHA<\/a>, une autre m\u00e9thode de protection contre les abonnements automatiques. Pour reconna\u00eetre le code dans l\u2019image, le cheval de Troie l\u2019envoie \u00e0 un service sp\u00e9cial. L\u2019ann\u00e9e derni\u00e8re, nous avons \u00e9tudi\u00e9<\/a> l\u2019op\u00e9ration des fermes \u00e0 clics qui proposent des services de reconnaissance de CAPTCHA.<\/p>\n

\u00c0 d\u2019autres \u00e9gards, ce malware fonctionne de la m\u00eame fa\u00e7on que les chevaux de Troie de la famille Jocker. Dans plusieurs cas, MobOk \u00e9tait distribu\u00e9 comme charge utile du cheval de Troie Triada, et le plus souvent via des applications pr\u00e9install\u00e9es sur certains mod\u00e8les de smartphones, dont les mises \u00e0 jour non officielles de WhatsApp<\/a> ou la boutique alternative d\u2019applications APKPure<\/a>. Certaines applications infect\u00e9es par MobOk sont parfois disponibles sur Google Play.<\/p>\n

Les chevaux de Troie qui souscrivent des abonnements \u00e0 partir de sources non-officielles<\/h2>\n

Le malware de la famille Vesub est aussi distribu\u00e9 via des sources douteuses et se fait passer pour des applications qui ont \u00e9t\u00e9 bannies des boutiques officielles pour une quelconque raison. Par exemple, elles se pr\u00e9sentent comme des applications qui permettent de t\u00e9l\u00e9charger le contenu de YouTube ou d\u2019autres services de streaming comme Tubemate ou Vidmate, ou comme la version Android non-officielle de GTA5. De plus, elles peuvent aussi appara\u00eetre comme les versions gratuites de c\u00e9l\u00e8bres applications payantes comme Minecraft.<\/p>\n

\"Le

Le cheval de Troie Vesub souscrit des abonnements et se fait passer pour Tubemate, Vidmate, GTA5, Minecraft ou le myst\u00e9rieux GameBeyond.<\/p><\/div>\n

Contrairement aux malwares des familles MobOk et Jocker, les applications infect\u00e9es par Vesub ne font g\u00e9n\u00e9ralement rien d\u2019utile pour l\u2019utilisateur. Une fois install\u00e9es, elles s\u2019abonnent \u00e0 un service non d\u00e9sir\u00e9 et cache les fen\u00eatres pertinentes \u00e0 l\u2019utilisateur tout en montrant la fen\u00eatre de chargement de l\u2019application. L\u2019application infect\u00e9e par MobOk peut parfois s\u2019av\u00e9rer utile, mais c\u2019est assez exceptionnel.<\/p>\n

Se connecter avec un num\u00e9ro de t\u00e9l\u00e9phone<\/h2>\n

Les chevaux de Troie GriftHorse.ae sont moins sophistiqu\u00e9s. Lorsqu\u2019ils s\u2019ex\u00e9cutent pour la premi\u00e8re fois, ils demandent \u00e0 l\u2019utilisateur de saisir son num\u00e9ro de t\u00e9l\u00e9phone, soi-disant pour pouvoir se connecter. L\u2019abonnement est souscrit d\u00e8s que l\u2019utilisateur le saisit et clique sur le bouton \u00a0\u00bb\u00a0Se connecter\u00a0\u00ab\u00a0, et le montant est d\u00e9bit\u00e9 du compte mobile. Ce malware se pr\u00e9sente souvent comme une application qui permet de r\u00e9cup\u00e9rer les fichiers supprim\u00e9s, d\u2019\u00e9diter les photos et les vid\u00e9os, de faire clignoter le flash lors d\u2019un appel entrant, d\u2019utiliser le GPS, de scanner les documents, de traduire, etc. En r\u00e9alit\u00e9, les applications infect\u00e9es n\u2019offrent rien d\u2019utile.<\/p>\n

Les abonnements par pr\u00e9l\u00e8vement automatique<\/h2>\n

M\u00eame si le nom est similaire, les chevaux de Troie GriftHorse.l ont une strat\u00e9gie diff\u00e9rente\u00a0: ils utilisent des abonnements avec des paiements r\u00e9currents. Officiellement, cela n\u2019est possible qu\u2019avec l\u2019accord direct de l\u2019utilisateur, mais les victimes pourraient ne pas se rendre compte qu\u2019elles autorisent un pr\u00e9l\u00e8vement automatique. La seconde astuce consiste \u00e0 effectuer un premier paiement insignifiant, puis \u00e0 augmenter de fa\u00e7on significative le montant des pr\u00e9l\u00e8vements suivants.<\/p>\n

Nous avons d\u00e9j\u00e0 \u00e9tudi\u00e9 une technique similaire lorsque de faux sites proposaient de s\u2019abonner \u00e0 des cours de formation<\/a>. Dans ce cas, le m\u00e9canisme est \u00e0 peu pr\u00e8s le m\u00eame mais il est mis en \u0153uvre dans l\u2019application<\/a>. Le cheval de Troie est largement distribu\u00e9 sur Google Play et l\u2019argent est directement d\u00e9bit\u00e9 d\u2019une carte bancaire, puisque les informations bancaires sont demand\u00e9es pour avoir acc\u00e8s au contenu.<\/p>\n

Comment ne pas \u00eatre victime des escrocs<\/h2>\n

Annuler un abonnement payant non d\u00e9sir\u00e9 peut s\u2019av\u00e9rer difficile. Comme d\u2019habitude, il vaut mieux pr\u00e9venir que gu\u00e9rir. Voici quelques conseils \u00e0 suivre pour vous prot\u00e9ger contre les chevaux de Troie qui souscrivent des abonnements :<\/p>\n