Passer au contenu

Android : les pirates ont une nouvelle astuce pour piller votre compte bancaire

Les pirates continuent de viser les détenteurs d’un smartphone Android. Pour dérober l’argent contenu sur un compte en banque, les cybercriminels ont mis au point une nouvelle tactique en exploitant la technologie WebAPK, apparue il y a quelques années.

Les chercheurs du Computer Security Incident Response Team (CSIRT KNF) de l’Autorité de surveillance financière polonaise ont récemment découvert que des pirates exploitaient WebAPK pour piéger les utilisateurs d’un smartphone Android. Cette technologie désigne une application Web qui peut être installée et exécutée sur un téléphone comme une application native. Les WebAPK sont créées en convertissant un site Web ou une application Web en une application native.

Les dangers de la technologie WebAPK

Cela permet aux développeurs de créer des applications qui sont compatibles avec une variété d’appareils mobiles, sans avoir à créer des versions natives distinctes pour chaque appareil. Le code de ce type d’apps est directement installé sur le système d’exploitation, et non cantonné au navigateur. Les applications ont donc accès à certaines parties de l’OS Android, comme n’importe quelle autre application installée, telles que la caméra, le microphone et le GPS. Elles s’installent également sur l’écran d’accueil par le biais d’une icône. Moins lourdes que les apps natives, elles consomment moins d’énergie et sont plus rapides à installer et à charger.

In fine, WebAPK permet à un utilisateur d’installer une application Android sans devoir passer le Play Store, directement depuis le navigateur. C’est une belle portée d’entrée pour les attaquants, qui sont libres d’éviter les systèmes de sécurité de la boutique de Google. Grâce à cette astuce, des hackers peuvent convaincre leur victime d’installer une application malveillante sur son téléphone en la contactant par mail, SMS ou par le biais d’une messagerie instantanée. Une fois installée par l’usager, celle-ci va se mettre à collecter des données personnelles, dont des informations sensibles. Il s’agit donc d’une attaque de phishing, ou hameçonnage en français.

À lire aussi : Ces cinq applications Android veulent piller votre compte bancaire, désinstallez-les

Comment les pirates s’emparent-ils du compte bancaire des utilisateurs Android ?

Les chercheurs ont découvert que des internautes polonais sont tombés dans le piège tendu par les hackers. Tout commence avec des SMS frauduleux. Ceux-ci expliquent aux utilisateurs qu’ils doivent impérativement installer une nouvelle version de l’application qui permet de se connecter à leur compte bancaire. Les escrocs se font passer pour la PKO Bank Polski, une importante banque polonaise.

Le SMS contenait un lien vers un site web factice. La plate-forme invitait les internautes à installer une WebAPK reprenant l’interface de leur application bancaire. En utilisant WebAPK, le processus « n’a pas déclenché d’avertissements typiques » concernant une activité malveillante, constate le CSIRT KNF.

Installée sur le terminal, la WebAPK affiche un écran de connexion. Persuadé de se connecter à sa banque, l’utilisateur entre ses identifiants de connexion, dont son mot de passe. Le code du système de double authentification, par SMS notamment, était également réclamé par la fausse application. Les pirates collectent les données. Ils sont désormais libres de se connecter au compte bancaire de la cible et de réaliser des virements à son insu. Les données peuvent aussi être revendues en masse sur des marchés noirs du dark web, contre des cryptomonnaies.

Une sérieuse menace sur Android

Pour les experts du CSIRT KNF, la technologie WebAPK représente « une sérieuse menace » pour les détenteurs d’un smartphone Android. Afin de berner leurs victimes, les cybercriminels n’ont plus besoin de mettre à disposition une application sur le Play Store, et de trouver un moyen de contourner les sécurités, imparfaites, mais présentes, de Google. Ils évitent aussi de déclencher des avertissements lorsque l’application vérolée pénètre sur le téléphone. Comme l’explique le rapport du CSIRT KNF, la même fonctionnalité qui séduit les développeurs Android « rend également WebAPK attrayant pour ceux qui ont une intention malveillante ».

En règle générale, un SMS de phishing comporte une faute d’orthographe ou de grammaire, vous encourage à cliquer sur un lien en vous mettant la pression, en prétextant un problème de paiement par exemple, et provient d’un numéro inconnu. Ne cliquez pas sur le lien, n’ouvrez pas l’éventuelle pièce jointe et ne fournissez surtout pas vos informations personnelles. Si vous avez un doute sur la provenance du message, contactez votre banque directement pour signaler le SMS ou vérifier son authenticité. En restant vigilant, vous éviterez qu’une app malveillante ne cherche à vous piéger et que des criminels ne s’emparent de votre compte en banque.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Linkedin


Florian Bayard