Après s’être infiltrés dans votre téléphone, la plupart des chevaux de Troie bancaires essaient d’accéder à vos SMS. Pour ce faire, ils interceptent le code à usage unique envoyé par la banque. Grâce à ce code, les propriétaires du malware peuvent faire un paiement ou siphonner votre compte bancaire sans que vous vous en rendiez compte. D’autre part, beaucoup de chevaux de Troie bancaires utilisent les SMS pour infecter d’autres dispositifs puisqu’ils envoient un lien de téléchargement infecté aux contacts de la victime.
Certaines applications malveillantes sont plus créatives et se servent de cet accès aux SMS pour distribuer d’autres contenus en votre nom, comme des SMS offensifs. Le malware Ginp, détecté pour la première fois en automne, peut même créer des messages entrants, et bien d’autres choses, sur le téléphone de la victime alors que personne ne les a envoyés. Commençons par le commencement.
Capacités du cheval de Troie mobile Ginp
Tout d’abord, Ginp a des compétences assez courantes dans le monde des chevaux de Troie bancaires. Il envoie le répertoire de la victime à ses créateurs, intercepte les SMS, vole les données des cartes bancaires et cache les applications bancaires grâce à des fenêtres d’hameçonnage.
Ensuite, le malware exploite l’accessibilité, un ensemble de caractéristiques Android destinés aux utilisateurs ayant des troubles de la vue. Ce n’est pas si rare. Les chevaux de Troie bancaires, et bien d’autres malwares, utilisent ces fonctions parce qu’elles leurs permettent de voir tout ce qui se passe sur l’écran et peuvent même » cliquer » sur des boutons ou des liens. En effet, ils peuvent complètement contrôler votre téléphone.
Les auteurs de Ginp ne s’arrêtent pas là puisqu’ils réapprovisionnent constamment leur arsenal avec des capacités chaque fois plus inventives. Par exemple, le malware a commencé à utiliser des notifications push et des messages pop-up pour que les victimes ouvrent certaines applications (imitées par les fenêtres d’hameçonnage). Les notifications sont bien rédigées pour que les utilisateurs ne se doutent de rien lorsqu’on leur demande de remplir un formulaire avec les données de leur carte bancaire. Voici un exemple (en espagnol) :
Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.(Google Pay : Il nous manque certaines informations sur votre carte de crédit ou de débit. Veuillez utiliser Play Store pour les ajouter en toute sécurité.)
Une fois dans l’application Play Store, les utilisateurs trouvent, comme prévu, un formulaire qui leur demande de saisir les données de leur carte bancaire. Pourtant, ce formulaire est affiché par le cheval de Troie, et non par Google Play. Les données saisies sont directement envoyées aux cybercriminels.
Ginp va au-delà de Play Store puisque ce cheval de Troie affiche des notifications d’applications bancaires :
B**A : Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26(B**A : Nous avons détecté une activité suspecte sur le compte que vous avez à B**A. Veuillez vérifier vos dernières opérations et appeler le 91 *** ** 26)
Bizarrement, les fausses notifications fournissent le véritable numéro de téléphone de la banque donc, si vous appelez, la personne à l’autre bout du fil va certainement vous dire qu’il n’y a aucun problème avec votre compte. Cependant, si vous vérifiez les « opérations suspectes » avant d’appeler votre banque, le malware imite l’application bancaire, ouvre une fausse fenêtre et vous demande de saisir les données de la carte bancaire.
Faux messages SMS très convaincants
Début février, notre système Botnet Attack Tracking a détecté une nouvelle fonction chez Ginp : la capacité à créer des faux SMS entrants. L’objectif est le même qu’auparavant : convaincre l’utilisateur d’ouvrir une application mais, cette fois, le cheval de Troie peut générer des SMS et inventer le contenu et l’expéditeur. Il n’existe aucune solution qui empêche les cybercriminels d’imiter les messages envoyés par les banques ou Google.
Même si les utilisateurs font souvent glisser les notifications sans vraiment y faire attention, en général ils lisent les messages reçus. Cela signifie qu’il est fort probable que l’utilisateur ouvre l’application pour voir ce qui se passe sur son compte. C’est là que le cheval de Troie envoie discrètement un faux formulaire qui demande les données de la carte bancaire.
Comment se protéger de Ginp
Actuellement, Ginp s’en prend surtout aux utilisateurs qui se trouvent en Espagne, mais il a changé plusieurs fois de tactique. La Pologne et le Royaume-Uni étaient ses cibles habituelles. Même si vous vivez dans un autre pays, n’oubliez jamais les règles de base de la cybersécurité. Pour ne pas être victime d’un cheval de Troie bancaire :
- Téléchargez les applications depuis Google Play.
- Entrez dans les paramètres Android et bloquez l’installation de programmes de sources inconnues.
- Ne suivez pas les liens reçus par SMS, surtout si le message est suspect. Par exemple, si un ami vous envoie un lien pour voir une photo au lieu de vous la faire parvenir directement à travers une application de messagerie ou sur les réseaux sociaux.
- Méfiez-vous des applications qui veulent accéder à vos SMS.
- Installez une solution de sécurité fiable sur votre téléphone. Par exemple, Kaspersky Internet Security détecte Ginp et beaucoup d’autres menaces.