En novembre dernier, des chercheurs de l’ESET ont découvert un virus Android capable de voler jusqu’à 1000€. Ce virus était caché dans des applications indépendantes du Play Store. Malgré la double authentification, le virus parvient à dérober l’argent via l’application Paypal.
Un virus Android bien camouflé
Ce Cheval de Troie caché dans des applications Android permet de voler 1000€ parallèlement à l’utilisation de Paypal. Lors de chaque authentification, même à double facteur, réputée sécurisée, 1000€ sont transférés vers le compte du pirate. Il s’agit d’une procédure automatique indécelable si l’utilisateur n’en est pas informé. Le trojan est véhiculé grâce à certaines applications téléchargeables hors de la plateforme de Google. L’exemple montré par l’ESET en novembre montre une application nommée « Optimisation Android », mais d’autres applications similaires peuvent également receler le malware.
Le programme malveillant fonctionne de façon très simple. Lorsque l’utilisateur lance l’application, celle-ci se ferme et demande l’accès au service d’accessibilité à des fins « statistiques ». Si l’application Paypal est installée sur le téléphone, une notification lui est envoyé afin qu’il s’identifie à son compte. À ce moment-là, c’est déjà trop tard. Le piège se referme et toute autre manipulation est rendue impossible. L’utilisateur n’a pas d’autre choix que de se connecter même avec l’identification à double facteur. Une fois les coordonnées renseignées, le malware prend le contrôle du terminal et quelques clics plus tard, envoie 1000€ vers le compte du pirate. La victime assiste alors, impuissante, au vol qui se déroule sous ses yeux. Pourtant, le virus n’a pas encore fini d’œuvrer. L’argent est volé à chaque fois que l’utilisateur s’authentifie en seulement quelques secondes.
Le fonctionnement du virus est encore plus poussé. Ce dernier est capable d’afficher la page d’authentification de services HTML comme Google Play, Skype, WhatsApp, Viber ou Gmail. Dans le cas de Gmail, lorsque l’on utilise l’authentification à double facteur avec Google, cela peut permettre