Certains d'entre nous se sont rendus compte ce qui semblait être une grave faille de sécurité pour beaucoup d'utilisateurs d'Android ce matin.
Détecté pour la première fois par ESET en novembre 2018, le programme malveillant associe les fonctionnalités d'un cheval de Troie bancaire contrôlé à distance à un nouvel usage abusif des services Android Accessibility, afin de cibler les utilisateurs de l'application officielle PayPal.
Cette histoire était accompagnée d'une vidéo effrayante, qui montrait que cette application malveillante "observait" que vous vous connectiez à PayPal, puis copiez votre processus pour vous connecter. Ce qui rend cette image particulièrement effrayante est la façon dont elle semble ignorer l'authentification à 2 facteurs, puis envoyer de l'argent en votre nom. Sans que l'utilisateur sache jamais, cette application vous connectait pour vous envoyer votre argent. Des choses terrifiantes, non? Eh bien, il y a un piège. En fait, il y en a plusieurs.
La première, comme l’a souligné l’équipe initiale rapportant ce cheval de Troie:
le malware se fait passer pour un outil d'optimisation de la batterie et est distribué via des magasins d'applications tiers.
D'accord, cet outil d'optimisation de batterie non fiable n'est pas du tout disponible via Google Play. Vérifier. Maintenant, quand l'application est installée, comment fait-elle son travail? Cette application fonctionne-t-elle vraiment en arrière-plan avec l'utilisateur, le plus sage? Eh bien, pas exactement. Encore une fois, de la part de l’équipe d’origine qui en a rendu compte (souligne le mot mien):
cette demande est présentée à l'utilisateur comme provenant du service "Activer les statistiques" au son inoffensif.
C'est vrai, vous recevez une demande d'autorisation lorsque cette application non fiable est lancée pour la première fois. Et cette permission "au son inoffensif" comprend les mots Observez vos actions dans la description en grandes lettres gras. Pas tout à fait un avertissement clignotant rouge, mais comme pour toute autorisation, vous devez choisir de l'activer. Si vous ne le faites pas, l'application ne peut rien faire.
Donc, une fois que cette application de batterie non fiable est installée à partir d'une source tierce et que vous lui donnez aveuglément l'accès à votre téléphone en ne lisant pas vos autorisations, est-ce qu'elle se cache en arrière-plan dans l'attente de la grève? Non, encore une fois, de la part de l’équipe d’origine qui en a rendu compte (surtout moi):
Si l'application PayPal officielle est installée sur le périphérique compromis, le logiciel malveillant affiche une alerte de notification invitant l'utilisateur à la lancer.
Vous recevez une notification vous invitant à vous connecter à PayPal à partir de quelque chose qui n'est pas PayPal, et vous le faites juste? Vraiment? Ce n'est pas comme ça que ça fonctionne.
Donc, pour récapituler, ce cheval de Troie Android super sérieux:
- Était pas dans le Google Play Store, vous devez donc télécharger à partir d'un magasin au hasard et permettre à des sources inconnues même de l'installer.
- Demande une permission assez inhabituelle dès que vous l'ouvrez.
- Vous envoie immédiatement une notification vous demandant de vous connecter à PayPal.
Individuellement, ce sont des drapeaux d'avertissement. Ensemble, c’est essentiellement une personne qui vous envoie une lettre par la poste vous demandant de leur faire savoir que vous ne serez pas chez vous pour qu’ils puissent vous voler.
Ce n'est pas une menace réelle pour la sécurité. Du tout. Bien que ce qui constitue une menace réelle pour la sécurité, PayPal ne s'appuie toujours que sur l'envoi d'un message texte pour l'authentification à deux facteurs. Nous sommes en 2018. Obtenez un vrai système de jeton.
