Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Attention aux chevaux de Troie Android se faisant passer pour l’application Clubhouse

mars 2021 par

Les cybercriminels tentent de profiter de la popularité de Clubhouse pour diffuser des malwares qui cherchent à voler les identifiants de connexion des utilisateurs à différents services en ligne, a constaté Lukas Stefanko , Malware Researcher chez ESET.

Déguisé en version Android (qui n’existe pas encore) de l’application de chat audio sur invitation, le malware est hébergé sur un site web qui a l’apparence et la convivialité du site web authentique de Clubhouse. Le cheval de Troie, surnommé BlackRock par ThreatFabric et détecté par les produits ESET sous le nom de Android/TrojanDropper.Agent.HLR, est capable de voler les données de connexion des victimes à pas moins de 458 services en ligne.

La liste des cibles comprend des applications financières et commerciales bien connues, des échanges de cryptomonnaies, ainsi que des réseaux sociaux et des plateformes de messagerie. Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA et Lloyds Bank figurent notamment tous sur la liste.

« Le site web ressemble au vrai. Pour être franc, il s’agit d’une copie bien réalisée du site web légitime de Clubhouse. Toutefois, dès que l’utilisateur clique sur « Get it on Google Play » (le télécharger à partir de Google Play), l’application est automatiquement téléchargée sur son appareil. En revanche, les sites web légitimes redirigeraient toujours l’utilisateur vers Google Play, plutôt que de télécharger directement un kit d’application Android, ou APK en abrégé », a déclaré M. Stefanko.

Avant même d’appuyer sur le bouton, certains signes indiquent que quelque chose ne va pas, comme le fait que la connexion n’est pas sécurisée (HTTP au lieu de HTTPS) ou que le site utilise le domaine de premier niveau (TLD) « .mobi », au lieu du « .com » utilisé par l’application légitime (voir la Figure 1). Autre signal d’alarme : même si Clubhouse prévoit effectivement de lancer une version Android de son application prochainement, la plateforme n’est pour l’instant disponible que sur iPhone.

Une fois que la victime s’est laissée convaincre de télécharger et d’installer BlackRock, le cheval de Troie tente de dérober ses identifiants via une attaque par superposition. En d’autres termes, chaque fois que l’utilisateur lance l’une des applications ciblées, le malware ajoute des éléments par-dessus l’application qui permettent de voler des données en demandant à l’utilisateur de se connecter. Et au lieu de se connecter, l’utilisateur transmet involontairement ses identifiants aux cybercriminels.

L’utilisation d’une authentification à deux facteurs (2FA) par SMS pour empêcher quiconque d’infiltrer vos comptes ne serait pas nécessairement utile dans ce cas, puisque le malware est également capable d’intercepter les messages texte. L’application malveillante demande également aux victimes d’activer les services d’accessibilité, permettant ainsi aux criminels de prendre le contrôle de l’appareil.

Bien sûr, il existe d’autres moyens de repérer le leurre malveillant que ceux présentés dans la Figure 1. M. Stefanko fait remarquer que le nom de l’application téléchargée, « Install » au lieu de « Clubhouse », devrait être un signal d’alarme immédiat. « Si cela démontre que le créateur du malware était probablement trop paresseux pour déguiser correctement l’application téléchargée, cela pourrait également signifier que nous pourrions découvrir des imitations encore plus sophistiquées à l’avenir, » a-t-il averti.

C’est peut-être également une bonne occasion de réviser les bonnes pratiques en matière de sécurité mobile :

· Utilisez uniquement les app stores officielles pour télécharger des applications sur vos appareils.

· Faites attention aux types de permissions que vous accordez aux applications.

· Maintenez votre appareil à jour, idéalement en le paramétrant de manière à ce que les correctifs et les mises à jour soient automatiques.

· Si possible, utilisez des générateurs logiciels ou matériels de mot de passe à usage unique (OTP) à la place des SMS.

· Avant de télécharger une application, faites des recherches sur le développeur, consultez les évaluations de l’application et les avis des utilisateurs.

· Utilisez une solution de sécurité mobile de bonne réputation.




Voir les articles précédents

    

Voir les articles suivants