.png){kind=logo}
3 days ago
Un nouveau cheval de Troie bancaire vise les utilisateurs d'Android, et sa méthode est particulièrement retorse. Baptisé Rokarolla, il se cache derrière de fausses applications populaires pour prendre le contrôle total du téléphone et viser les identifiants de 217 applications bancaires et de cryptomonnaies.
Les chercheurs de la société de sécurité mobile Zimperium, qui l'ont décrit le 16 juin, n'ont pas trouvé le programme sur le Play Store : il se diffuse uniquement en dehors de la boutique officielle.
Un faux antivirus qui ouvre grand la porte
Tout commence par un site web piégé imitant une application connue comme TikTok ou Chrome. Le fichier téléchargé est un « dropper », un programme dont le seul rôle est d'en installer un autre. Pour endormir la méfiance, ce dropper prend l'apparence de Google Play Protect, l'antivirus intégré d'Android. Une fois en place, le maliciel réclame l'accès aux services d'accessibilité, ces fonctions conçues à l'origine pour aider les personnes en situation de handicap à piloter leur appareil à la voix ou au toucher.
Rokarolla se faisant passer pour Google Play Protect afin d'installer un maliciel déguisé en TikTok. © Zimperium
Accorder cette permission revient à confier à un inconnu les pleins pouvoirs sur son téléphone : Rokarolla peut alors lire l'écran, appuyer sur les boutons et désactiver Play Protect d'une simple commande.
Désormais n’importe qui peut trouver en quelques secondes où vous habitez, votre numéro de téléphone portable, et même vos informations bancaires ou médicales. Certains ont compilé les récentes fuites de données pour en faire un moteur de recherche. Ou plutôt des moteurs de recherche, car il existe en réalité plusieurs sites.... Lire la suite
Le programme, qui dispose selon Zimperium de 137 commandes à distance, déploie ensuite sa technique de prédilection, la superposition.
Quand la victime ouvre sa véritable application bancaire, une fausse page de connexion, récupérée sur le serveur des pirates, s'affiche par-dessus, à la manière d'un faux clavier collé sur un distributeur de billets. Tout ce qui est saisi, identifiants comme numéro de carte, part directement chez l'attaquant. Un faux écran de verrouillage capture même le code de déverrouillage du téléphone.
Rokarolla demandant une série d'accès système pour opérer. © Zimperium
Pour rester invisible, le cheval de Troie photographie l'écran image par image au lieu d'en filmer une vidéo, ce qui déclencherait une alerte. Il lit aussi les SMS, donc les codes de validation bancaire, et réécrit silencieusement le presse-papiers afin de détourner un paiement en cryptomonnaie vers une adresse contrôlée par les pirates.
1,2 million de comptes bancaires consultés : ce que vous devez comprendre
Un accès non autorisé au fichier national des comptes bancaires (Ficoba) a exposé les données de 1,2 million de titulaires fin janvier. Si aucune opération n'a pu être réalisée, les informations dérobées ouvrent la voie à plusieurs formes de fraudes. Voici ce que vous risquez, et comment vous protéger.... Lire la suite
Avec ses 137 commandes, Rokarolla dépasse le cheval de Troie HOOK et ses 107 instructions, et rejoint une longue série de programmes bancaires malveillants repérés sur Android ces derniers mois, de DroidBot à Crocodilus. Les chercheurs ont décrit cet arsenal sans en chiffrer les victimes.
Comment éviter le piège ?
Aucun correctif ne neutralisera Rokarolla, puisqu'il s'agit d'un logiciel malveillant et non d'une faille d'Android.
La protection repose sur quelques réflexes. D'abord, n'installer d'applications que depuis le Play Store et se méfier de tout fichier APK proposé par un site web. Ensuite, refuser toute demande d'accès aux services d'accessibilité émanant d'une application qui n'a aucune raison de la réclamer. Enfin, garder Google Play Protect activé et se montrer attentif à toute application qui chercherait à le désactiver.
English (United States) · 
French (France) ·