Des chercheurs norvégiens travaillant pour la firme Promon, spécialisée dans la sécurité informatique, mettent en garde contre un cheval de Troie nommé Banknot. Sa particularité est de subtiliser les coordonnées bancaires de l’utilisateur en s’appuyant sur une vulnérabilité présente sous Android : StrandHogg.
Promon, un spécialiste de la sécurité informatique, a mis en garde cette semaine contre Strandhogg, une vulnérabilité du système d’exploitation Android permettant à une application d’afficher un faux formulaire d’une application bancaire.
Des applications vérolées se font passer pour des applications sûres
L’alerte a été donnée par des banques tchèques qui ont constaté que de l’argent avait disparu des comptes de certains clients. En creusant, elles découvrent qu’un cheval de Troie nommé Banknot avait été utilisé pour vider les comptes. Comme son nom l’indique, la particularité de ce cheval de Troie c’est de subtiliser les coordonnées bancaires de l’utilisateur pour ensuite les envoyer aux pirates. Banknot s’appuie sur une vulnérabilité connue depuis 2017 sous Android: StrandHogg, en référence aux attaques de Vikings. Elle permet à des applications vérolées de se faire passer pour des applications sûres. Si l’utilisateur a mordu à l’hameçon, le cheval de Troie imite le formulaire de connexion d’une application bancaire pour en récupérer le login et le mot de passe. Les données sont ensuite envoyées sur le serveur des pirates qui n’ont plus qu’à se servir à volonté sur ces comptes bancaires.
« L’activité malveillante détourne la tâche de la fonction ciblée [par l’utilisateur], explique les experts de Promon. La prochaine fois que l’application cible sera lancée à partir du Launcher, la tâche détournée sera mise au premier plan et l’activité malveillante sera visible. L’application malveillante n’aura alors qu’à ressembler à l’application cible pour pouvoir lancer avec succès des attaques sophistiquées contre l’utilisateur. Il est possible de détourner une telle tâche avant même que l’application cible ait été installée. ».
Des précautions à prendre
Promon a identifié au moins 36 applications malveillantes exploitant la vulnérabilité de Strandhogg, parmi lesquelles des variantes du cheval de Troie bancaire Bankbot. Pour s’en prémunir, le spécialiste en sécurité informatique recommande d’utiliser un système d’identification par biométrie comme l’empreinte digitale. De nombreuses banques l’intègrent désormais, et c’est difficile, voire impossible, à contourner. Il défend aussi d’installer des applications qui ne sont pas présentes sur le Play Store d’Android. Promon appelle en outre à être un peu plus vigilant quand on veut rentrer des informations sur internet. Par exemple faire attention à des fautes d’orthographes, tout comme des boutons qui ne fonctionnent pas ou qui n’admettent pas de retour en arrière.