Les chevaux de Troie visant les applications bancaires mobiles et exposant les particuliers à d’importants risques sont en train de proliférer.

C’est ce qu’indique une étude que vient de publier l’éditeur de solution de sécurité Avast à l’occasion du MWC 2018. Ces attaques sont problématiques car d’un côté les services bancaires sur mobile se développent rapidement et de l’autre plus d’un mobinaute sur trois est incapable de faire la différence entre une application authentique et sa version piratée. Cela d’autant plus que de fausses interfaces reproduisent fidèlement les applications bancaires mobiles des plus grandes banques du monde. La publication de cette étude intervient alors que les banques proposent de plus en plus d’applications permettant de réaliser l’ensemble des opérations bancaires.

Les utilisateurs de services bancaires mobiles du monde entier sont confrontés à un risque plus grand d’être piégés par des cybercriminels, et d’être victimes de fraudes. Telle est la conclusion de la nouvelle étude mondiale publiée par Avast, leader mondial des produits de sécurité digitale, qui a demandé à près de 40 000 consommateurs de douze pays, dont la France, de comparer l’interface de plusieurs applis bancaires officielles avec leur version contrefaite.

Au niveau mondial, près de 6 personnes interrogées sur 10 ont identifié l’interface officielle des applications bancaires mobiles comme frauduleuse, tandis que 36 % prenaient l’interface piratée pour la version authentique. Ces résultats soulignent le niveau de sophistication et d’exactitude qu’ont atteint les cybercriminels pour réaliser des copies extrêmement fiables, ce qui leur permet d’espionner les utilisateurs et de collecter leurs identifiants personnels pour faire main basse sur leur compte en banque.

Ces derniers mois, l’éditeur a détecté plusieurs fausses applications bancaires mobiles qui représentent une menace croissante pour la confidentialité et la sécurité. Parmi les banques visées par les cybercriminels, on retrouve Crédit Agricole, Citibank, Wells Fargo, Santander, HSBC, ING, Chase, Bank of Scotland et Sberbank. En dépit des mesures strictes de sécurité déployées ainsi que des sauvegardes, les importantes bases de données clients de ces organisations constituent des cibles particulièrement attrayantes pour les cybercriminels, pour réussir à créer de fausses applications qui imitent les officielles à la perfection.

En novembre 2017, l’équipe Threat Labs Mobile d’Avast a découvert dans Google Play une nouvelle version du cheval de Troie BankBot qui cible les identifiants de connexion bancaire des particuliers. Avast a ainsi analysé la menace, en collaboration avec ESET et SfyLabs. Cette toute dernière variante était dissimulée dans des applications réputées fiables, telles que des lampes de poche et des versions du célèbre jeu Solitaire. Une fois téléchargés, les logiciels malveillants lançaient et ciblaient les applications des plus grandes banques. Lorsqu’un utilisateur ouvrait son appli bancaire, le malware positionnait une fausse interface sur l’appli officielle, afin de collecter les coordonnées bancaires du client et de les transmettre au cybercriminel.

L’étude menée par Avast souligne en outre que les consommateurs du monde entier se disent davantage préoccupés par le vol d’argent sur leur compte bancaire, que par la perte de leur portefeuille ou de leur sac à main ; voire même par le piratage de leurs comptes sur les réseaux sociaux ou la consultation de leurs messages personnels. Au niveau mondial, 72 % des personnes interrogées ont déclaré que la perte d’argent était leur principale préoccupation, contre 67 % en France.

Au niveau mondial, un peu plus de deux personnes interrogées sur cinq ont déclaré utiliser des applications bancaires mobiles. Parmi les personnes interrogées qui ne se servent pas d’un smartphone ou de tablette pour accéder aux services de leur banque, près du tiers (30 %) des français ont indiqué que le faible niveau de sécurité était leur principal souci.

 

BankBot se dissimule dans des applications triviales comme la lampe de poche

C’est en novembre dernier qu’Avast a collaboré avec des chercheurs de ESET et SfyLabs afin d’examiner une nouvelle du malware BankBot. BankBot est un morceau de malware bancaire qui s’est glissé dans Google Play à plusieurs reprises cette année, ciblant des applications de grandes banques, y compris Wellsfargo, Chase, DiBa et Citibank et leurs utilisateurs aux États-Unis, en Australie, en Allemagne, aux Pays-Bas, en France, en Pologne, en Espagne, au Portugal, en Turquie, en Grèce, en Russie, en République dominicaine, à Singapour et aux Philippines.

La nouvelle version de BankBot s’est cachée dans des applications qui se présentent comme des applications lampe de poche soi-disant fiables, incitant les utilisateurs à les télécharger, et ce, lors d’une première campagne. En ce qui concerne la deuxième campagne, les jeux Solitaire et une application de nettoyage ont alors déposé d’autres logiciels malveillants en plus de BankBot, appelé Mazar et Red Alert (Mazar a récemment été décrit par ESET).

Le but de ces applications a été de les espionner, de collecter leurs coordonnées bancaires et de voler leur argent. Google a supprimé en quelques jours du Play Store les versions antérieures des applications BankBot. Cependant, plusieurs versions sont restées actives jusqu’au 17 novembre. Cela a suffi pour que les applications infectent des milliers d’utilisateurs.

Google a mis en place des mesures de numérisation et de validation pour toutes les applications soumises au Play Store afin de s’assurer qu’aucun programme malveillant ne pénètre. Mais dans leur deuxième campagne, les auteurs de chevaux de Troie bancaires mobiles ont commencé à utiliser des techniques spéciales pour contourner les détections automatisées de Google, en commençant des activités malveillantes deux heures après que l’utilisateur ait donné des droits d’administrateur à l’application.