{"id":9380,"date":"2017-08-23T08:55:21","date_gmt":"2017-08-23T08:55:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9380"},"modified":"2019-11-22T09:03:54","modified_gmt":"2019-11-22T09:03:54","slug":"faketoken-trojan-taxi","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/faketoken-trojan-taxi\/9380\/","title":{"rendered":"Les chevaux de Troie sur les applications de r\u00e9servation de taxi font leur arriv\u00e9e"},"content":{"rendered":"

Vous \u00eates press\u00e9, vous devez vous rendre au travail, \u00e0 une r\u00e9union pro ou \u00e0 un rendez-vous. Vous lancez donc votre application pr\u00e9f\u00e9r\u00e9e pour r\u00e9server un taxi comme \u00e0 votre abitude, sauf que cette fois, elle vous incite \u00e0 saisir votre num\u00e9ro de carte de cr\u00e9dit. Cela semble-t-il suspicieux\u00a0? Pas forc\u00e9ment, les applications oublient des informations, et tout ce que vous avez \u00e0 faire est d\u2019introduire de nouveau votre num\u00e9ro de carte..<\/p>\n

N\u00e9anmoins, apr\u00e8s un certain temps, vous constatez que de l\u2019argent a disparu de votre compte; Que s\u2019est-il pass\u00e9 ? Vous avez \u00e9t\u00e9 s\u00fbrement la victime malchanceuse d\u2019un cheval de Troie mobile. Ce type de malware a \u00e9t\u00e9 r\u00e9cemment d\u00e9couvert pour avoir d\u00e9tourn\u00e9 des donn\u00e9es bancaires et imit\u00e9 l\u2019interface des applications de r\u00e9servation de taxi<\/a>.<\/p>\n

Le cheval de Troie Faketoken existe depuis longtemps, et s\u2019est transform\u00e9 au fil des ann\u00e9es. Nos experts ont d\u00e9nomm\u00e9 la version actuelle \u00ab\u00a0Faketoken.q,\u00a0\u00bb. Jusqu\u2019\u00e0 pr\u00e9sent, il a appris un nombre consid\u00e9rable de combines.<\/p>\n

Apr\u00e8s avoir obtenu l\u2019acc\u00e8s \u00e0 un smartphone (\u00e0 en juger par l\u2019ic\u00f4ne du logiciel malveillant, Faketoken s\u2019infiltre dans les smartphones via des messages SMS en vrac avec une invitation \u00e0 t\u00e9l\u00e9charger une image) et installer les modules n\u00e9cessaires, le cheval de Troie masque son ic\u00f4ne de raccourci et commence la surveillance de fond de tout ce qui se passe sur le syst\u00e8me.<\/p>\n

\"\"

L\u2019ic\u00f4ne du cheval de Troie Faketoken install\u00e9<\/p><\/div>\n

\u00a0<\/p>\n

Premi\u00e8rement, le cheval de Troie s\u2019int\u00e9resse aux appels de l\u2019utilisateur. D\u00e8s qu\u2019il d\u00e9tecte un appel, il commence \u00e0 l\u2019enregistrer. Lorsque l\u2019appel est fini, Faketoken envoie l\u2019enregistrement au serveur du cybercriminel. Deuxi\u00e8mement, le cheval de Troie v\u00e9rifie \u00e9galement quelles applications le propri\u00e9taire du smartphone utilise.<\/p>\n

Lorsque Faketoken d\u00e9tecte le lancement d\u2019une application dont l\u2019interface peut \u00eatre imit\u00e9e, le cheval de Troie recouvre imm\u00e9diatement l\u2019application avec son propre \u00e9cran. Pour y arriver, il utilise une fonctionnalit\u00e9 standard d\u2019Android qui est compatible avec les superpositions d\u2019\u00e9cran de toutes les autres applications\u00a0<\/a>: toute une s\u00e9rie d\u2019applications l\u00e9gitimes, telles que les messageries, les gestionnaires de fen\u00eatres, etc, utilisent cette fonctionnalit\u00e9.<\/p>\n

La fen\u00eatre de recouvrement correspond aux couleurs de l\u2019interface de l\u2019application originale. Sur cette fen\u00eatre, le cheval de Troie incite l\u2019utilisateur \u00e0 saisir le num\u00e9ro de sa carte de cr\u00e9dit, y compris le code de v\u00e9rification au dos de la carte.<\/p>\n

\"\"

Le cheval de Troie Faketoken.q imite les applications de r\u00e9servation de taxi populaires en Russie<\/p><\/div>\n

\u00a0<\/p>\n

En r\u00e9alit\u00e9, Faketoken.q est \u00e0 l\u2019aff\u00fbt d\u2019une grande vari\u00e9t\u00e9 d\u2019applications qui ont une chose en commun : que la demande de saisie des donn\u00e9es de paiement paraisse normale, assez pour qu\u2019elle n\u2019\u00e9veille pas les soup\u00e7ons. Parmi les applications attaqu\u00e9es, on trouve un certain nombre d\u2019applications bancaires mobiles, Android Play, Google Play Store, des applications pour r\u00e9server des vols et des chambres d\u2019h\u00f4tels, et des applications pour payer des contraventions, ainsi que des applications pour r\u00e9server des taxis.<\/p>\n

Au cours de l\u2019\u00e9tape de d\u00e9tournement de l\u2019argent de l\u2019utilisateur, Faketoken a recours \u00e0 une autre ruse<\/a>, celle d\u2019intercepter tous les messages SMS entrants, en les dissimulant \u00e0 l\u2019utilisateur, en les acheminant vers le serveur du cybercriminel, o\u00f9 les mots de passe uniques pour la confirmation du paiement depuis ces messages sont extraits.<\/p>\n

A en juger le petit nombre d\u2019attaques que nous avons enregistr\u00e9 et les artefacts de l\u2019interface utilisateur, que vous pouvez voir dans une des captures d\u2019\u00e9cran ci-dessus, nous dirions que les chercheurs de notre laboratoire d\u2019antivirus ont mis la main sur l\u2019une des versions de test du cheval de Troie<\/a>, et ce n\u2019est pas la derni\u00e8re.<\/p>\n

Nous devons donner aux cr\u00e9ateurs assidus de Faketoken une bonne le\u00e7on. Ils vont probablement am\u00e9liorer le cheval de Troie, et une vague d\u2019incidents pourrait surgir de la version \u00ab\u00a0commerciale\u00a0\u00bb \u00e0 tout moment.<\/p>\n

Actuellement, le cheval de Troie se concentre sur les utilisateurs en Russie, mais comme nous l\u2019avons vu plusieurs fois par le pass\u00e9, les cybercriminels se piquent sans cesse les id\u00e9es les uns les autres, par cons\u00e9quent, il ne leur faudra pas beaucoup de temps pour adopter la m\u00eame combine dans d\u2019autres pays. De nos jours, beaucoup de citadins ont des applications de r\u00e9servation de taxi install\u00e9es, par cons\u00e9quent cette combine repr\u00e9sente une bonne opportunit\u00e9 pour les cr\u00e9ateurs de malwares.<\/p>\n

Ci-dessous, vous avez quelques conseils sur la fa\u00e7on de vous prot\u00e9ger contre Faketoken et les chevaux de Troie mobiles similaires qui d\u00e9tournent des num\u00e9ros de carte et interceptent des messages SMS avec des mots de passe \u00e0 usage unique pour confirmer les paiements.<\/p>\n