Le programme malveillant est mobile, et aussi social aujourd’hui
Une nouvelle combinaison « qui fait d’une pierre deux coups » utilise l’injection malveillante de code JavaScript sur Facebook pour tenter d’inciter les utilisateurs à télécharger l’app malveillante iBanking sur leur appareil androïde.
Comment éviter l’infection
En tout premier lieu : Si vous vous connectez sur Facebook à partir de votre ordinateur et qu’on vous demande mystérieusement de télécharger un « logiciel unique d’authentification sûr et sans danger » sur votre androïde, n’en faites rien.
Si cela arrive, c’est que votre ordinateur est déjà infecté et que le téléchargement du logiciel infectera aussi votre androïde. Dans le cas où vous seriez témoin d’une telle demande, nous vous encourageons à désinfecter votre ordinateur.
iBanking circonstancié :
L’invitation à télécharger un “logiciel unique” utilise le piratage psychologique pour tenter d’inciter les utilisateurs de Facebook à télécharger une app soit disant de sécurité qui offrira une authentification à deux facteurs pour leur compte Facebook.
En réalité cette « app de sécurité » est iBanking, un programme malveillant capable de :
- Intercepter la vraie authentification à deux facteurs envoyée par de vrais fournisseurs de service
- Capturer le texte de SMS entrants et sortants
- Rediriger des appels sortants vers un numéro de téléphone pré programmé
- Capturer de l’audio en activant le microphone
- Voler des métadonnées – le journal des appels et la liste des contacts
Auparavant, iBanking prenait généralement pour cible les sites internet de finance, en utilisant la même méthode, l’injection de code JavaScript malveillant pour tenter d’inciter les utilisateurs à effectuer des téléchargements. En général, le formulaire demande le numéro de téléphone de l’utilisateur et son type d’appareil, et envoie ensuite un lien de téléchargement dans un message SMS vers le mobile. De là, le téléchargement malveillant contient des instructions d’installation détaillées, en indiquant même aux utilisateurs comment autoriser l’installation de l’app provenant de sources inconnues dans les paramètres de l’androïde.
iBanking a acquis une certaine notoriété en février, lorsque son code source a été dévoilé sur un forum clandestin, le rendant ainsi largement disponible aux auteurs de programmes malveillants dans le monde entier. Bien que la stratégie fondamentale du programme malveillant – infecter en passant par le Web pour ensuite contrôler l’activité d’un appareil mobile – n’a rien d’original, sa récente apparition sur Facebook est une évolution et cause d’inquiétude. Tout simplement : il est beaucoup plus facile et rentable de viser un site de réseaux sociaux utilisé par des milliards de personne que de cibler une poignée de sites de finance qu’un utilisateur est susceptible ou non d’utiliser. De plus, l’insertion malveillante sur le web peut être très facilement confondue avec une demande réelle pour permettre une authentification à deux facteurs, spécialement pour des utilisateurs rendus un peu paranoïaques quant à leur sécurité personnelle par la récente crise Heartbleed.