Publié le 22 septembre 2022, modifié le 22 septembre 2022.
Par La Rédaction

Les chevaux de Troie ciblant les services bancaires mobiles explosent

Publié le 22 septembre 2022, modifié le 22 septembre 2022.
Par La Rédaction
Création : @smoytoo for @servicesmobiles

Création : @smoytoo for @servicesmobiles

Les chevaux de Troie ciblant les services bancaires mobiles ont atteint un niveau record au premier semestre 2022

La majorité de la population des pays développés a intégré les services bancaires mobiles dans sa vie quotidienne de manière étonnamment rapide et transparente. L’adoption des services bancaires mobiles a été un succès, car les institutions financières et les fintechs ont veillé à ce que les applications soient conviviales, pratiques et extrêmement sécurisées. Cependant, étant donné que les gains financiers résultant de la découverte de failles dans les applications bancaires mobiles ont tendance à être astronomiques, les pirates travaillent jour et nuit pour trouver comment pénétrer dans ces applications.

Alors que le secteur de la banque mobile est à son âge d’or, l’attention des cybercriminels est également à son plus haut niveau.

Selon une enquête d’Atlas VPN, le nombre de chevaux de Troie bancaires mobiles a atteint un record de 109 561 détections au premier semestre 2022, ce qui représente une augmentation de 117 % par rapport aux 50 450 détections au second semestre 2021. Les données de l’analyse ont été extraites du site Web officiel de Kaspersky, où l’entreprise partage les données collectées auprès de ses utilisateurs.

Près de la moitié (49,28 %) des détections au premier semestre 2022 faisaient partie de la famille Trojan-Banker.AndroidOS.Bray. Ce type de logiciel malveillant est considéré comme une menace grave pour le système infecté. Les chevaux de Troie mobiles sont conçus pour cibler les applications financières mobiles afin de commettre une fraude sur l’appareil et de siphonner l’argent directement des comptes des victimes. Celles-ci arrivent parfois à récupérer leurs fonds. Les cybercriminels ont tendance à rationaliser à rebours leurs actes frauduleux en déclarant que leurs victimes récupèrent généralement leurs fonds, de sorte que les pertes réelles sont plutôt subies par les institutions bancaires.

Différences de comportement sur iOS et Android

Dans le cas des attaques sur les wallet de crypto-monnaies, ESET Research a identifié plus de 40 sites Web usurpant des portemonnaies (wallets) de crypto-monnaies populaires. Ces sites Web ciblent uniquement les utilisateurs mobiles et leur proposent de télécharger des applications de wallets malveillantes. ESET a pu retracer le vecteur de distribution de ces wallets de crypto-monnaies trojanisés, ainsi que la création de plusieurs groupes Telegram qui ont commencé à rechercher des partenaires affiliés. Peu de temps après, ESET a constaté que ces groupes « Telegram » étaient partagés et promus dans au moins 56 groupes Facebook, avec le même objectif : rechercher davantage de partenaires de distribution.

Les applications malveillantes se comportent différemment selon le système d’exploitation sur lequel elle a été installée. Sur Android, elles semblent cibler les nouveaux utilisateurs de crypto-monnaies qui n’ont pas encore d’application de wallet légitime installée sur leurs appareils. Les wallets infectés par des chevaux de Troie ont le même nom de package que les applications légitimes ; cependant, ils sont signés à l’aide d’un certificat différent. Sur iOS, la victime peut avoir les deux versions installées, celle légitime de l’App Store et celle malveillante d’un site Web, car elles ne partagent pas le même Bundle ID.

Pour les appareils Android, les sites offraient la possibilité de télécharger directement l’application malveillante à partir de leurs serveurs, même lorsque l’utilisateur cliquait sur le bouton “Télécharger sur Google Play”. Une fois téléchargée, l’application doit être installée manuellement par l’utilisateur. Concernant iOS, ces applications malveillantes ne sont pas disponibles sur l’App Store. Elles doivent être téléchargées et installées à l’aide de profils de configuration, qui ajoutent un certificat de signature de code de confiance arbitraire.

Lire aussi
Tech

8 défis cyber de 2024

Dans cette édition de notre newsletter sur la cybersécurité, nous explorons divers sujets cruciaux, allant des récentes fuites de données...