Début de l’année, les chercheurs de d3Lab ont découvert une fausse application Android sur Internet. L’application se fait passer pour l’app officielle de la Deutsche Bank, la principale banque allemande. Selon les investigations menées en janvier dernier, l’opération paraît encore relativement ciblée. Le principe est aussi redoutable qu’éculé. La victime installe une application qui ressemble à celle de sa banque, et, sans s’en rendre compte, elle va communiquer ses coordonnées bancaires aux cybercriminels.
À lire aussi : Une faille critique d’Android a été exploitée dans des attaques « ciblées », Google déploie un correctif
Quelles banques européennes sont visées ?
Dans les mois suivants, d3Lab s’est rendu compte que l’opération a pris de l’ampleur en visant une panoplie d’autres banques européennes. Les attaquants multiplient les déclinaisons pour toucher davantage de victimes et s’adapter à plusieurs marchés nationaux.
Parmi les cibles, on trouve aussi Intesa Sanpaolo (Italie), Banca Sella (Italie), Fideuram (Italie), BCC Roma (Italie), Nexi (plateforme de paiement italienne), Mooney (service financier italien), Klirway (service financier), ou encore CaixaBank (Espagne). Aucune banque française n’est répertoriée dans les cibles épinglées par les chercheurs, mais la donne pourrait évidemment changer.
Le malware NFCShare
Le piège repose en grande partie sur la technologie NFC. Les smartphones Android possèdent en effet une puce NFC (Near Field Communication), qui permet de faire des paiements sans contact à une très courte distance.
Caché dans l’application malveillante, on trouve un virus intitulé NFCShare. Une fois l’application ouverte pour la première fois, le malware va informer l’utilisateur qu’il doit « vérifier sa carte » ou « sécuriser son accès » pour continuer à utiliser son compte. L’application frauduleuse affiche ensuite une fenêtre qui invite l’utilisateur à saisir son code PIN, comme le fait une vraie application bancaire lors d’une vérification. L’utilisateur saisit donc son code PIN sur son téléphone. Ce code est immédiatement enregistré par le malware et envoyé aux attaquants.
Juste après, l’application demande à la victime d’approcher sa carte bancaire de l’arrière de son smartphone, comme pour un paiement sans contact. Le message indique généralement qu’il faut « vérifier la carte » ou « confirmer l’identité de la carte ». Habituée aux paiements sans contact, la cible pose sa carte près de son téléphone, sans réaliser que cela va permettre au malware de lire toutes les informations de la carte via la puce NFC. En fait, le virus se fait un peu passer pour un terminal de paiement légitime, comme ceux que vous utilisez en magasin.
À lire aussi : Le malware TrickMo est de retour sur Android, et il se cache sur la blockchain
Une cyberattaque qui évolue
La méthode de diffusion du malware évolue elle aussi avec le temps. Selon les chercheurs, les fichiers APK piégés ne sont plus seulement diffusés via des canaux clandestins, mais hébergés sur GitHub, une plateforme très connue dans le monde du développement logiciel. En parallèle, les tactiques d’infection sont devenues plus sophistiquées. Les victimes sont d’abord attirées vers des sites de phishing imitant leur banque. Sur ces sites, l’utilisateur est incité à télécharger une prétendue mise à jour de sécurité ou une nouvelle version de l’application bancaire.
Notez bien qu’aucune banque ne demande de télécharger une mise à jour Android depuis un lien reçu par SMS, par téléphone ou par le biais d’une page web externe. Une banque ne demande pas non plus d’approcher sa carte bancaire de son smartphone pour une prétendue vérification. Si votre application vous le demande, vous pourriez bien être la cible d’un virus qui exploite le NFC.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : d3lab
