Google Actualités -
cyberguerre.numerama.com - « Votre colis a été envoyé » : attention à ce SMS,
il cache un malware !
Par François Manens et Louise Audry
pour Numerama - cyberguerre.numerama.com – Publié le vendredi 09 avril 2021.
Smartphones
Le phishing au colis est de retour. Mais cette fois, il embarque un malware
capable de dépouiller votre compte bancaire.
En ce début d’avril 2021, un SMS
aussi expéditif qu’étrange a été reçu par de nombreux Français et Françaises,
dont l’auteur de cet article. « Votre colis a été envoyé. Veuillez le vérifier
et le recevoir ».
À la suite du message se trouve un
lien « tinyurl », un lien raccourci, cache le vrai lien de destination. Aucun
moyen non plus de savoir qui a envoyé le SMS : un vendeur ? Un service de
livraison ? Ou bien des malfaiteurs ? La formulation du message, bien que
correcte grammaticalement, ne sonne pas juste, comme si elle était traduite
d’une langue étrangère. Pourtant, le message semble venir d’un numéro français.
1 - Nous avons reçu le phishing un
lundi soir, sans nous douter qu’il cachait un malware. // Source : Capture
d’écran Cyberguerre
Ce SMS a
des allures de déjà-vu : il reprend la construction du phishing au « droit
de douane » ou à « l’affranchissement » de colis, un grand classique des
malfaiteurs, dont il existe des dizaines de variantes. L’idée : jouer sur votre
crainte de ne pas rater la réception d’un colis pour précipiter votre erreur.
Ce phishing revient à intervalles réguliers, habillé aux couleurs de
différentes entreprises de livraison : Colissimo, FedEx, UPS… Habituellement,
les malfrats redirigent leurs cibles vers une fausse page de l’entreprise
qu’ils imitent, dans le but d’extorquer leurs informations personnelles, et
surtout, leurs données bancaires.
Lorsque je reçois le SMS sur mon
iPhone, lundi 6 avril, je clique donc dessus pour voir s’il cache la combine
habituelle. Raté : le lien me renvoie vers un nom de domaine sans queue ni tête
« keypugwnhw[.]duckdns.org/?ulkmaloyxk ». J’y trouve une page blanche, et c’est
tout. Je décide de passer à autre chose. Après tout, peut-être que les malfrats
ont simplement mal configuré leur phishing.
Mais
trois jours plus tard, Maxence contacte Cyberguerre : un de ses amis a
reçu le même phishing, mais il a ouvert le lien sur un smartphone Android. Le
site lui a alors affiché un message « afin d’avoir une meilleure expérience,
veuillez mettre à jour votre navigateur Chrome à la dernière version », puis
lui a proposé de télécharger le fichier « mxpcqpgjyk.apk ».
Si vous ne le savez pas, les APK sont
des sortes de kits d’installation pour les applications Android. Autrement dit,
en téléchargeant le fichier, la cible du phishing télécharge une app.
Aurions-nous trouvé la trace d’une app malveillante ? Contactée par
Cyberguerre, l’équipe de recherche d’Evina (une entreprise de cybersécurité
spécialisé dans la fraude bancaire) a confirmé cette hypothèse : le faux SMS de
livraison cache un malware de la famille des « bankers ».
LE
MALWARE SE CACHE SOUS UNE ICÔNE INVISIBLE : Une fois l’APK
téléchargée, l’app s’installe. Elle prend l’apparence de Google Chrome, le
navigateur internet par défaut des smartphones Android, afin de demander des
autorisations d’accès à l’utilisateur. Son objectif : obtenir le droit
d’envoyer et recevoir des appels ; d’envoyer et recevoir des SMS ; d’accéder
aux photos et autres fichiers de l’appareil ; et d’accéder au répertoire de
contacts.
À
l’écran, le malware affiche deux icônes : une copiée sur Chrome, et une
autre transparente (et donc en quelques sortes invisibles). « Lorsque vous
cliquez sur une des deux icônes, l’icône visible sera supprimée pour ne laisser
place qu’à l’icône invisible », précisent les chercheurs dans l’analyse qu’ils
ont remise à Cyberguerre.
2 - À droite, l’icône Chrome qui
cache le malware, au centre, l’icône invisible. // Source : Evina
Le « banker » va agir en coulisses,
hors du regard de l’utilisateur. Il va dans un premier temps collecter toutes
sortes d’informations, et les envoyer par Internet à un serveur contrôlé par
les malfaiteurs — d’ailleurs, le malware peut activer le WiFi lui-même. Il va
lister les applications installées sur l’appareil, le numéro de téléphone de la
victime, le numéro de série de la carte SIM ou encore la liste des contacts.
Ensuite, il passe à la vitesse
supérieure. Vous vous en doutez, si ce genre de malware est nommé « banker »,
c’est parce qu’il a pour objectif de mettre la main sur le compte bancaire de
la victime. Pour y parvenir, le logiciel malveillant va déployer un nouveau
piège. « Il affiche une fausse page web
qui explique que l’accès au compte bancaire a été bloqué et qu’il faut le
réactiver », écrivent les chercheurs. Cette page affiche un formulaire qui
demande une série d’informations, prétendument pour rétablir l’accès au compte
:
- Le
numéro de compte ;
- Le mot
de passe pour l’espace bancaire ;
- Le
prénom, nom, l’adresse et la date de naissance de la victime ;
- Les
détails de la carte bancaire.
Bien sûr, ces informations sont
immédiatement transmises à des serveurs contrôlés par les hackers. Une fois que
les malfrats les ont récupérées, plus rien ne les empêche de se connecter au
compte bancaire de la victime, et d’y effectuer des opérations. Grâce aux
autorisations accordées au malware, ils peuvent lire les SMS et les
notifications de l’utilisateur, et s’en servir pour récupérer les éventuels
codes nécessaires à la validation des transactions.
Et ce
n’est pas tout : ils vont aussi pouvoir se servir du smartphone de
la victime pour envoyer leur phishing à d’autres personnes, par exemple à ses
contacts. Ainsi, ils diffuseront efficacement le malware.
LE
MALWARE N’EST PAS DES PLUS VIRULENTS : Malgré ses capacités dangereuses,
ce malware est relativement peu complexe par rapport aux autres logiciels de sa
famille. Les bankers les plus développés mettent en place des moyens de
collecte des informations bancaires plus subtils qu’un simple phishing :
certains clonent les apps des banques, d’autres enregistrent les frappes sur le
clavier du smartphone, d’autres encore sont capables de prendre des captures
d’écrans. Ici, même si les malfaiteurs parviennent à convaincre la victime de
télécharger le malware, ils doivent encore espérer qu’elle morde au phishing
présenté par le logiciel malveillant.
LES
MALFRATS N’ONT PAS FAIT ASSEZ D’EFFORTS : Ce manque de subtilité des
malfrats se retrouve tout au long de leur phishing, et ils laissent ainsi
plusieurs portes de sortie à leurs victimes. Avec quelques mots supplémentaires
et l’affichage du nom d’un service de livraison de colis, le SMS initial serait
bien plus convaincant. De même, le nom du site et celui du fichier APK ont de
quoi attirer la suspicion de la victime. Surtout, ils cassent la continuité du
scénario de la livraison de colis, censé être la raison des actions de leur
victime.
Des hackers sophistiqués auraient
fait croire que l’APK permettait d’installer une application La Poste ou
Colissimo prétendument nécessaire pour recevoir le colis. Ici, la cible du
phishing peut facilement déceler l’entourloupe : pourquoi devrait-elle
télécharger un fichier quelque chose pour mettre Chrome à jour ? Surtout,
pourquoi ce fichier d’installation n’aurait pas le mot Chrome dans son nom ?
La maladresse — ou l’incompétence —
des malfaiteurs est une aubaine pour les victimes : d’autres campagnes de
phishings comme celle aux couleurs de TousAntiCovid, ne leur laisse pas autant
de chances de se rattraper.
COMMENT
DÉSINSTALLER LE MALWARE ? : Vous avez mordu au phishing ? -
Commencez par prévenir votre banque, si ce n’est pas déjà fait.
Ensuite, les chercheurs d’Evina
précisent qu’il suffit de désinstaller l’app vérolée depuis le menu «
application » de votre appareil pour s’en débarrasser. Comme pour n’importe
quelle application de votre smartphone, allez dans le menu, cliquez sur l’icône
de l’app, puis sur « désinstaller ».
Puisque le malware se cache sous
l’apparence de Google Chrome, vous devez faire attention à bien distinguer les
deux. L’équipe d’Evina note que le malware ne pèse que quelques kilooctets
(Ko), alors que la vraie app fait plusieurs centaines de mégaoctets (Mo). Autre
moyen de vérification : dans les paramètres, il est possible de voir de quelles
autorisations dispose l’app, comme sur l’image ci-dessous :
3 - À gauche, les autorisations
demandées par le vrai Chrome, à droite, celles demandées par le faux. // Source
: Evina
Pour
conclure : un petit rappel à tous les utilisateurs d’Android.
Ne téléchargez des applications que depuis le Google Play Store, et utilisez un
antivirus. Ces deux précautions ne vous protègeront pas de l’intégralité des
menaces, mais elles suffiront pour vous éviter ce genre de mésaventure.
Lire la Source : https://cyberguerre.numerama.com/11670-votre-colis-a-ete-envoye-attention-a-ce-sms-il-cache-un-malware.html
© Par
Bernard TRITZ
