Un autre ensemble de fausses applications bancaire a trouvé son chemin jusqu’au magasin officiel de Google Play. Cette fois, les applications ont usurpé l'identité de six banques de Nouvelle-Zélande, d'Australie, du Royaume-Uni, de Suisse et de Pologne, en plus du site autrichien d’échange de cryptomonnaies Bitpanda. À l'aide de faux formulaires, l’application d’hameçonnage subtilise des données de carte de crédit ou des identifiants de connexion aux services légitimes usurpés.
Figure 1 - Six des applications malveillantes trouvées sur Google Play
Les contrefaçons malveillantes ont été téléversées sur Google Play en juin 2018 et ont été installées plus d'un millier de fois avant d'être détruites par Google. Les applications ont été téléchargées sous différents noms de développeurs, chacun utilisant une forme différente. Néanmoins, les similarités de code suggèrent que ces applications sont le travail d'un seul attaquant. Les applications utilisent des techniques d’obscurcissement, ce qui pourrait avoir contribué à ce qu'elles se faufilent dans le magasin sans être détectées.
Le seul but de ces applications malveillantes est d'obtenir des informations sensibles d'utilisateurs innocents. Certaines applications profitent de l'absence d'une application mobile officielle pour le service ciblé (comme Bitpanda), tandis que d'autres tentent de tromper les utilisateurs en imitant les applications officielles existantes. Vous trouverez la liste complète des banques et services ciblés à la fin de cet article.
Comment fonctionnent ces applications?
Bien que les applications ne suivent pas une procédure commune, au lancement, elles affichent toutes des formulaires demandant des détails de carte de crédit ou des identifiants de connexion à la banque ou au service ciblé. Vous pourrez observer des exemples à la Figure 2. Si les utilisateurs remplissent ce formulaire, les données soumises sont envoyées au serveur de l'attaquant. Les applications présentent alors à leurs victimes un message de « Félicitations » ou de « Remerciements », dont un exemple peut être observé à la Figure 3. Les fonctionnalités de l’application s'arrêtent alors.
Figure 2 - Faux formulaires d'hameçonnage pour obtenir des renseignements sur les cartes de crédit et des données d'accès aux services bancaires en ligne.
Figure 3 - Écran final affiché par l'une des applications malveillantes
Comment demeurer en sécurité
Si vous soupçonnez que vous avez installé et utilisé l’une de ces applications malveillantes, nous vous conseillons de les désinstaller immédiatement.
De plus, modifiez les codes PIN de votre carte de crédit ainsi que vos mots de passe bancaires sur Internet et vérifiez vos comptes bancaires pour détecter toute activité suspecte. Si vous observez des transactions inhabituelles, communiquez avec votre banque. Les utilisateurs du site d’échange de cryptomonnaies Bitpanda qui pensent avoir installé la fausse application mobile sont aussi invités à vérifier leurs comptes pour détecter toute activité suspecte et changer leurs mots de passe.
Pour éviter d'être victime d'hameçonnage et d'autres fausses applications financières, nous vous recommandons de :
- Ne faites confiance aux applications bancaires mobiles et autres applications financières que si elles sont liées sur le site Web officiel de votre banque ou du service financier;
- Ne téléchargez que des applications à partir de Google Play. Bien que ce ne soit pas une garantie l'application n'est pas malveillante, les applications comme celles-ci sont beaucoup plus courantes sur les boutiques d'applications tierces et y sont rarement supprimées une fois découvertes, contrairement au Google Play Store;
- Portez attention au nombre de téléchargements, aux évaluations et aux évaluations des applications lorsque vous téléchargez des applications à partir de Google Play;
- N'entrez vos informations sensibles dans les formulaires en ligne que si vous êtes sûr de la sécurité et de la légitimité de ces derniers;
- Maintenez votre appareil Android à jour et utilisez une solution de sécurité mobile fiable. Les produits ESET détectent et bloquent ces applications malveillantes comme Android/Spy.Banker.AIF, Android/Spy.Banker.AIE et Android/Spy.Banker.AIP.
Banques et services visés
Australie et Nouvelle-Zélande
Commonwealth Bank of Australia (CommBank)
The Australia and New Zealand Banking Group Limited (ANZ)
ASB Bank
Royaume-Uni
TSB Bank
Suisse
PostFinance
Pologne
Bank Zachodni WBK (renommée Santander Bank Polska SA en septembre 2018)
Autriche
Bitpanda
Indicateurs de compromission (IoCs)
| Package name | Hash | Detection |
|---|---|---|
| cw.cwnbm.mobile | 651A3734103472297A2C65C81757FB5820AD2AB7 | Android/Spy.Banker.AIF |
| au.money.go | DE09F03C401141BEB05F229515ABB64811DDB853 | Android/Spy.Banker.AIF |
| asb.ezy.pay | B6D70983C28B8A0059B454065D599B4E18E8097C | Android/Spy.Banker.AIF |
| uk.mobile.tsb | 91692607FB529218ADF00F256D5D1862DF90DAAF | Android/Spy.Banker.AIF |
| ch.post.finance | FE1B2799B65D36F19484930FAF0DA17A0DBE9868 | Android/Spy.Banker.AIF |
| pl.mblzch | C43E7A28E1B807225F1E188C6DA51D24DCC54F5F | Android/Spy.Banker.AIE |
| www.bit.panda | 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F | Android/Spy.Banker.AIP |
