Alors que tout le monde commence à faire du télétravail et à maintenir une certaine distance sociale, certaines personnes peuvent devenir paranoïaques. Je devrais peut-être éviter tout contact parce que, qui sait, cette personne a peut-être le coronavirus. Ou alors peut-être que cet autre individu l’a aussi ? D’une certaine façon, les gens commencent à avoir peur des autres. Les cybercriminels ont décidé d’en profiter.
Un détecteur de coronavirus (qui ne fonctionne pas)
Les cybercriminels à l’origine de Ginp, un cheval de Troie bancaire dont nous avons récemment parlé (voici l’article publié sur Kaspersky Daily à ce sujet), ont lancé une nouvelle campagne en lien avec Covid-19. Après que Ginp a reçu un ordre spécial, il ouvre un site Web qui s’intitule Coronavirus Finder (détecteur de coronavirus). L’interface est assez simple puisqu’elle affiche le nombre de personnes infectées par le coronavirus qui se trouvent près de vous et vous demande de faire un petit paiement si vous voulez connaître l’emplacement des malades.
Ouf, quel soulagement pour celles et ceux qui veulent savoir qui ils doivent éviter ! Ce message est plus que convaincant pour certaines personnes, alors elles décident de payer. Cette somme semble dérisoire, donc vous pourriez vous le permettre. Le site vous demande alors de saisir les informations de votre carte de paiement pour réaliser la transaction.
Comme vous le savez, Ginp est un cheval de Troie très compétent qui utilise différents leurres pour que les utilisateurs saisissent les données de leur carte bleue dans certains formulaires, puis les leur dérobe. Si vous pensez que ce site Web n’est qu’une nouvelle méthode utilisée pour obtenir vos données… Félicitations, vous avez deviné juste !
Une fois que vous avez saisi les informations de votre carte de paiement, elles sont directement envoyées aux cybercriminels… C’est tout. Ils ne prélèvent même pas le montant que vous deviez régler. Pourquoi le feraient-ils maintenant qu’ils ont toutes vos économies entre leurs mains ? Bien évidemment, ils ne vous donnent aucun renseignement sur les personnes ayant le coronavirus dans les environs puisqu’ils n’en savent rien.
La vitesse de propagation du virus est telle que personne ne dispose de ces informations, pas même le gouvernement. Ne tombez pas dans le piège ! De plus, pour que ce site Web apparaisse sur votre écran, vous devez d’abord avoir été infecté par Ginp. Tant que vous êtes protégé et n’avez pas de cheval de Troie dans votre téléphone, vous ne recevrez pas ce genre de notifications.
Selon les données obtenues par Kaspersky Security Network, la plupart des utilisateurs infectés par Ginp se trouvent en Espagne, comme c’était déjà le cas auparavant. Pourtant, il s’agit d’une nouvelle version de Ginp, intitulée « flash-2 », alors que les versions précédentes étaient connues comme « flash-es12 ». Peut-être que l’absence de « es » dans le nom de cette nouvelle version signifie que les cybercriminels veulent étendre cette campagne au-delà de l’Espagne.
Ce n’est pas la première fois que les pirates informatiques se servent du coronavirus. Ils l’ont déjà utilisé comme appât dans des messages d’hameçonnage et pour créer des malwares.
Se protéger du cheval de Troie bancaire Ginp
Les conseils à suivre pour vous protéger du cheval de Troie bancaire Ginp sont toujours les mêmes :
- Ne téléchargez vos applications qu’à partir de Google Play (et désactivez l’option permettant d’installer les applications venant d’autres sources).
- Restez sur vos gardes. Si quelque chose éveille vos soupçons, ne cliquez pas et, plus important encore, ne fournissez aucune donnée sensible (identifiants, mots de passe, informations bancaires).
- N’autorisez que votre antivirus à utiliser l’Accessibilité; refusez l’accès aux autres applications.
- Installez une solution de sécurité fiable. Par exemple, Kaspersky Internet Security for Android connaît bien Ginp et le détecte en tant que Trojan-Banker.AndroidOS.Ginp.
Nous vous invitons à suivre les recommandations de l’OMS pour vous protéger du coronavirus.