Un malware sous Android piège les clients de 18 banques françaises

Un malware Android récemment découvert cible 94 applications de mobile banking utilisées par des particuliers dans au moins sept pays, dont la France.

gm-bot

De plus en plus de services sont accessibles via les mobiles, et les Français ne restent pas en marge de la tendance. 92 % des personnes possédant un smartphone l’utilisent pour consulter leurs comptes bancaires, d’après un récent sondage de l’institut CSA consulting. Si ces services sont très utiles, ils constituent aussi un terrain fertile pour les hackers qui y cultivent divers stratagèmes pour dérober les données sensibles des utilisateurs.

Vous avez peut-être déjà entendu parler du programme GM Bot. Sinon, il s’agit d’un cheval de Troie apparu dans le cercle des hackers russes en 2014. Il est largement utilisé dans le cadre d’attaques orientées vers les données bancaires. Le malware a connu un énorme succès, et de nombreux auteurs de logiciels malveillants ont acheté son code source à son créateur, un développeur et hacker connu sous le pseudo Ganjaman.

50 banques visées dans le monde, dont 18 en France

Plusieurs déclinaisons de GM Bot sont en circulation depuis l’ouverture de son code source. Les clients de plusieurs banques sont actuellement visés dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. D’après la firme de sécurité informatique Avast, plus de 200.000 utilisateurs sous Android ont téléchargé des applications infectées par un logiciel malveillant dérivé de GM Bot rien qu’au cours du trimestre dernier.

Nikolaos Chrysaidos, responsable des menaces et de la sécurité mobile chez Avast est récemment revenu sur les méthodes employées par ce malware, mais aussi sur les moyens de s’en protéger.

Comment fonctionne GM Bot ?

D’après l’exposée de l’expert, le cheval de Troie GM Bot se propage en prenant la forme d’une application d’apparence inoffensive, comme le célèbre plug-in Flash parfois nécessaire pour la lecture de certains contenus audiovisuels. Il est particulièrement actif sur les sites réservés aux adultes. Son installation passe presque exclusivement par les plateformes tierces de téléchargement d’applications, c’est-à-dire les sources autres que le Play Store de Google qui dispose de contrôles de sécurité pointus.

Une fois téléchargé, le malware ne laisse aucune trace pouvant évoquer sa présence. Une icône par exemple. Cela ne signifie toutefois pas que le programme malveillant a quitté le terminal. Il demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, il peut rapidement causer de sérieux dégâts.

« Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles. »

« Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations telles que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphone. »

Vous l’auriez compris, le mode de fonctionnement de GM Bot est extrêmement malin et subtil. Toutefois, il n’y a pas de prise de risque lorsque vous évitez de télécharger vos applications depuis des sources non officielles. L’appât est d’autant plus séduisant que la plupart de ces applications proposent des fonctionnalités ou services qu’on ne trouve pas toujours sur les plateformes de confiance, ou alors ils existent, mais sont habituellement payantes.


Suivez nous sur facebook

Réagissez à cet article !