Les logiciels malveillants bancaires ont continué de sévir sur la plateforme Android tout au long de l'année 2018, les cybercriminels ciblant sans relâche les utilisateurs avec des chevaux de Troie et fausses applications bancaires, mais aussi en expérimentant de nouvelles techniques pour voler de l'argent.
Pour aider les utilisateurs à naviguer dans le paysage délicat et en expansion des menaces Android, Lukáš Štefanko, chercheur en malwares chez ESET, précise dans son white paper intitulé « Logiciels bancaires malveillants visant Android : chevaux de Troie sophistiqués vs fausses applications bancaires » les diverses tactiques et techniques les plus couramment utilisées par les cybercriminels s’attaquant aux logiciels bancaires malveillants.
Nous nous sommes entretenus avec Lukáš et lui avons posé quelques questions sur son dernier rapport de recherche.
Qu'est-ce qui vous a poussé à vous concentrer sur ce sujet de façon si détaillée?
Je fais face à des applications malveillantes qui s'attaquent presque quotidiennement aux identifiants bancaires des utilisateurs d'Android. Ils utilisent de nombreuses astuces, techniques et méthodes de distribution différentes, mais peuvent finalement être divisés en deux grands groupes - comme l'indique le titre du white paper. La distinction n'est peut-être pas aussi claire pour les utilisateurs réguliers d'Android, alors je voulais répondre à cela.
Donc, des chevaux de Troie bancaires sophistiqués et de fausses applications bancaires. Pourquoi est-il important pour l’utilisateur lambda de connaître la différence?
Si les utilisateurs savent à quoi ils ont affaire, je crois qu'ils ont de meilleures chances d’assurer leur sécurité. Les deux catégories peuvent viser le même objectif - voler les titres de compétences ou l'argent des comptes bancaires de leurs victimes - mais leurs stratégies pour atteindre cet objectif sont très différentes. Et cela signifie que les moyens de prévenir ou de supprimer les menaces seront également différents pour chaque catégorie.
Veuillez expliquer les différentes stratégies à quelqu'un de nouveau sur le sujet?
Les chevaux de Troie bancaires sont sournois - ils essaient d'amener les utilisateurs à les installer en prétendant qu'ils sont amusants ou utiles, mais certainement totalement inoffensifs. Pensez aux jeux, aux gestionnaires de batteries et aux boosters de puissance, aux applications météo, aux lecteurs vidéo, etc. Ils essaient de garder les utilisateurs dans l'obscurité pendant qu'ils recueillent les droits et permissions nécessaires pour leur finale. Puis, lorsque les utilisateurs s'y attendent le moins, ils glissent un faux écran de connexion sur une application bancaire légitime et volent les données saisies. Les victimes peuvent ne rien savoir de ce qui se passe jusqu'à ce qu'elles découvrent que de l'argent a disparu de leurs comptes.
Les fausses applications bancaires sont beaucoup plus simples - elles essaient toutes de convaincre les utilisateurs qu'elles sont des applications bancaires légitimes. Une fois installés et lancés, ils s'ouvrent avec un formulaire de connexion, tout comme le ferait une vraie application bancaire. Et, comme vous l'avez probablement déjà deviné, les lettres de créance soumises dans le formulaire sont récoltées. Les victimes réalisent généralement immédiatement ce qui s'est passé lorsque l'application montre qu’elle ne dispose pas de certaines des fonctionnalités attendues par l'application bancaire.
Quelles sont les chances que les utilisateurs tombent dans le piège d'une fausse application bancaire?
Je dirais que les chances sont plus faibles qu'avec les chevaux de Troie bancaires, mais de nos jours, certaines applications peuvent paraître assez fiables même si elles sont fausses. Ce qui est peut-être plus important que le nombre d'utilisateurs qui installent des logiciels malveillants, c'est combien d'entre eux en sont victimes - et les chances sont élevées avec les fausses applications bancaires. C'est parce que les utilisateurs installent ces applications en croyant qu'ils installent une véritable application bancaire, ce qui les incite à entrer leurs identifiants lorsqu'ils voient un écran de connexion.
Considérez-vous que l'une de ces catégories est plus dangereuse que l'autre?
D'un point de vue technique, oui - les chevaux de Troie bancaires sont plus robustes et d’un style de plus en plus hybrides. Cela signifie que leurs capacités ne se limitent pas à l'hameçonnage pour l'obtention d'identifiants bancaires, mais qu'ils pourraient, par exemple, avoir des fonctions d'espionnage ou des capacités semblables à celles d'un logiciel de rançon. Mais si nous parlons du danger de se faire voler ses références bancaires, je pense que les fausses applications bancaires sont tout aussi dangereuses.
Parmi les conseils figurant dans votre white paper, lesquels considérez-vous les plus utiles?
Je vois trois grands principes à suivre pour se tenir à l'écart des logiciels malveillants bancaires Android.
Tout d'abord, restez à l'écart des magasins d'applications non officiels autant que possible, et désactivez toujours la fonction « installation d'applications de sources inconnues » sur votre appareil.
Deuxièmement, faites bien attention à l'image de l'application sur Google Play, et continuez à porter attention à son comportement après son installation. Les critiques négatives et les permissions qui ne sont pas liées à la fonction de l'application constituent les principaux signaux d'alarme.
Et enfin, ne téléchargez les applications bancaires et autres applications financières que si un lien figure sur le site officiel de la banque ou du service financier mène directement au téléchargement ce celles-ci.
En fait, cette approche, qui consiste à rechercher spécifiquement les applications dont vous avez besoin plutôt qu'à installer des applications sur lesquelles vous tombez par hasard, peut être un moyen d'éviter les logiciels malveillants.