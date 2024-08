ESET Research découvre deux attaques bancaires innovantes et inquiétantes

août 2024 par ESET

ESET Research révèle deux menaces majeures qui ciblent principalement les clients de banques en République tchèque, combinant des techniques sophistiquées d’hameçonnage et des malwares innovants. Ces menaces mettent en lumière l’évolution continue des cyberattaques sur les smartphones, qu’ils soient sous Android ou iOS, et en particulier celles visant nos applications bancaires.

• Une nouvelle technique d’hameçonnage combine des méthodes traditionnelles et l’utilisation de PWA (Progressive Web Apps) et cible Android et iOS.

• Cette campagne visait principalement les clients de banques tchèques, avec quelques cas observés en Hongrie et en Géorgie.

• La particularité de cette méthode réside dans l’absence d’avertissements lors de l’installation des applications PWA/WebAPK malveillantes.

• Seconde attaque : NGate permet de cloner les données NFC des cartes de paiement et de les relayer sur l’appareil d’un attaquant.

Première campagne : Hameçonnage Bancaire sophistiqué et applications

La première menace identifiée repose sur une campagne d’hameçonnage avancée utilisant des Progressive Web Apps (PWA) pour piéger les utilisateurs de smartphones. Ces attaques permettent aux cybercriminels d’installer des applications malveillantes qui imitent parfaitement les applications bancaires légitimes. Pour arriver à leurs fins, les attaquants leurrent les victimes par des fenêtres pop-up ou sont incitées à ajouter ces applications à leur écran d’accueil par appel téléphonique ou SMS. Sur Android, cela peut aboutir à l’installation discrète d’un APK malveillant. Sur iOS, les utilisateurs sont poussés à installer une PWA via leur navigateur. Les criminels diffusent ces URL d’hameçonnage par le biais d’appels automatisés, de SMS et de publicités trompeuses sur les réseaux sociaux, contournant ainsi les mesures de sécurité standard des appareils mobiles.

Selon Benoit GRUNEMWALD, Expert Cybersécurité chez ESET France « pour les utilisateurs d’iPhone, cette technique pourrait remettre en question la perception de sécurité associée au modèle fermé d’iOS ».

Seconde campagne, NGate, permet le vol de carte bancaire par NFC

La seconde menace est un malware Android inédit nommé NGate, qui apparaît en mars 2024. Ce logiciel malveillant se distingue par sa capacité à exploiter les données NFC des cartes de paiement. NGate relaye ces données vers un appareil Android contrôlé par les attaquants, facilitant ainsi l’usage frauduleux de la carte copiée. Innovante, cette technique fonctionne sans nécessiter de rooter l’appareil de la victime, la rendant particulièrement dangereuse.

NGate se propage via des sites frauduleux qui imitent des plateformes bancaires légitimes, incitant les victimes à installer le malware. Les victimes, ensuite contactées et convaincues par une manipulation psychologique sophistiquée, activent le NFC et placent leur carte de paiement contre leur smartphone, permettant ainsi la collecte de données sensibles. Cette campagne, active depuis novembre 2023, est orchestrée par un groupe opérant en République tchèque, dont les activités semblent interrompues suite à une arrestation en mars 2024.

Conclusion

Ces menaces illustrent l’ingéniosité croissante des cybercriminels et l’importance d’une vigilance accrue face aux nouvelles formes d’attaques. Benoit Grunemwald, expert cyber chez ESET France, souligne que « Assurer la protection contre des attaques aussi complexes nécessite l’utilisation de mesures proactives contre des tactiques telles que l’hameçonnage, l’ingénierie sociale et les logiciels malveillants. Cela signifie vérifier les URL des sites Web, télécharger des applications à partir des magasins officiels, garder ses codes PIN secrets, utiliser des applications de sécurité sur les smartphones, désactiver la fonction NFC lorsqu’elle n’est pas nécessaire, utiliser des étuis de protection pour les cartes bancaires ou avoir recours à des cartes virtuelles avec authentification ».