De fausses applications bancaires sur Google Play et victimes mondiales

De fausses applications bancaires sur Google Play ciblent des utilisateurs à travers le globe

Des cybercriminels utilisent de fausses applications d’hameçonnage visant six banques en ligne et sites d’échange de cryptomonnaies.

Des cybercriminels utilisent de fausses applications d’hameçonnage visant six banques en ligne et sites d’échange de cryptomonnaies.

Un autre ensemble de fausses applications bancaire a trouvé son chemin jusqu’au magasin officiel de Google Play. Cette fois, les applications ont usurpé l’identité de six banques de Nouvelle-Zélande, d’Australie, du Royaume-Uni, de Suisse et de Pologne, en plus du site autrichien d’échange de cryptomonnaies Bitpanda. À l’aide de faux formulaires, l’application d’hameçonnage subtilise des données de carte de crédit ou des identifiants de connexion aux services légitimes usurpés.

Fake finance apps

Figure 1 – Six des applications malveillantes trouvées sur Google Play

Les contrefaçons malveillantes ont été téléversées sur Google Play en juin 2018 et ont été installées plus d’un millier de fois avant d’être détruites par Google. Les applications ont été téléchargées sous différents noms de développeurs, chacun utilisant une forme différente. Néanmoins, les similarités de code suggèrent que ces applications sont le travail d’un seul attaquant. Les applications utilisent des techniques d’obscurcissement, ce qui pourrait avoir contribué à ce qu’elles se faufilent dans le magasin sans être détectées.

Le seul but de ces applications malveillantes est d’obtenir des informations sensibles d’utilisateurs innocents. Certaines applications profitent de l’absence d’une application mobile officielle pour le service ciblé (comme Bitpanda), tandis que d’autres tentent de tromper les utilisateurs en imitant les applications officielles existantes. Vous trouverez la liste complète des banques et services ciblés à la fin de cet article.

Comment fonctionnent ces applications?

Bien que les applications ne suivent pas une procédure commune, au lancement, elles affichent toutes des formulaires demandant des détails de carte de crédit ou des identifiants de connexion à la banque ou au service ciblé. Vous pourrez observer des exemples à la Figure 2. Si les utilisateurs remplissent ce formulaire, les données soumises sont envoyées au serveur de l’attaquant. Les applications présentent alors à leurs victimes un message de « Félicitations » ou de « Remerciements », dont un exemple peut être observé à la Figure 3. Les fonctionnalités de l’application s’arrêtent alors.

Fake finance apps

Figure 2 – Faux formulaires d’hameçonnage pour obtenir des renseignements sur les cartes de crédit et des données d’accès aux services bancaires en ligne.

Fake finance apps

Figure 3 – Écran final affiché par l’une des applications malveillantes

Comment demeurer en sécurité

Si vous soupçonnez que vous avez installé et utilisé l’une de ces applications malveillantes, nous vous conseillons de les désinstaller immédiatement.

De plus, modifiez les codes PIN de votre carte de crédit ainsi que vos mots de passe bancaires sur Internet et vérifiez vos comptes bancaires pour détecter toute activité suspecte. Si vous observez des transactions inhabituelles, communiquez avec votre banque. Les utilisateurs du site d’échange de cryptomonnaies Bitpanda qui pensent avoir installé la fausse application mobile sont aussi invités à vérifier leurs comptes pour détecter toute activité suspecte et changer leurs mots de passe.

Pour éviter d’être victime d’hameçonnage et d’autres fausses applications financières, nous vous recommandons de :

  • Ne faites confiance aux applications bancaires mobiles et autres applications financières que si elles sont liées sur le site Web officiel de votre banque ou du service financier;
  • Ne téléchargez que des applications à partir de Google Play. Bien que ce ne soit pas une garantie l’application n’est pas malveillante, les applications comme celles-ci sont beaucoup plus courantes sur les boutiques d’applications tierces et y sont rarement supprimées une fois découvertes, contrairement au Google Play Store;
  • Portez attention au nombre de téléchargements, aux évaluations et aux évaluations des applications lorsque vous téléchargez des applications à partir de Google Play;
  • N’entrez vos informations sensibles dans les formulaires en ligne que si vous êtes sûr de la sécurité et de la légitimité de ces derniers;
  • Maintenez votre appareil Android à jour et utilisez une solution de sécurité mobile fiable. Les produits ESET détectent et bloquent ces applications malveillantes comme Android/Spy.Banker.AIF, Android/Spy.Banker.AIE et Android/Spy.Banker.AIP.

Banques et services visés

Australie et Nouvelle-Zélande

Commonwealth Bank of Australia (CommBank)
The Australia and New Zealand Banking Group Limited (ANZ)
ASB Bank

Royaume-Uni
TSB Bank

Suisse
PostFinance

Pologne
Bank Zachodni WBK (renommée Santander Bank Polska SA en septembre 2018)

Autriche
Bitpanda

Indicateurs de compromission (IoCs)

Package nameHashDetection
cw.cwnbm.mobile651A3734103472297A2C65C81757FB5820AD2AB7Android/Spy.Banker.AIF
au.money.goDE09F03C401141BEB05F229515ABB64811DDB853Android/Spy.Banker.AIF
asb.ezy.payB6D70983C28B8A0059B454065D599B4E18E8097CAndroid/Spy.Banker.AIF
uk.mobile.tsb91692607FB529218ADF00F256D5D1862DF90DAAFAndroid/Spy.Banker.AIF
ch.post.financeFE1B2799B65D36F19484930FAF0DA17A0DBE9868Android/Spy.Banker.AIF
pl.mblzchC43E7A28E1B807225F1E188C6DA51D24DCC54F5FAndroid/Spy.Banker.AIE
www.bit.panda7D80158C8C893E46DC15E6D92ED2FECFDB12BF9FAndroid/Spy.Banker.AIP

Discussion