Des phishers utilisent une technique innovante pour tromper les utilisateurs d’iOS et d’Android en les incitant à installer des applications malveillantes qui contournent les mécanismes de sécurité mis en place par Apple et Google pour protéger contre les applications non autorisées.
Ces deux systèmes d’exploitation mobiles emploient des mécanismes destinés à aider les utilisateurs à éviter les applications qui volent leurs informations personnelles, mots de passe ou autres données sensibles. iOS interdit l’installation de toutes les applications en dehors de celles disponibles sur son App Store, une approche largement connue sous le nom de jardin clos. De son côté, Android est par défaut configuré pour n’autoriser que les applications disponibles sur Google Play. L’installation d’applications à partir d’autres marchés (sideloading) doit être manuellement autorisée, une pratique que Google déconseille.
Quand les applications natives ne le sont pas
Les campagnes de phishing qui circulent depuis neuf mois utilisent des méthodes inédites pour contourner ces protections. L’objectif est de tromper les cibles pour qu’elles installent une application malveillante se faisant passer pour une application officielle de leur banque. Une fois installée, cette application malveillante vole les identifiants de compte et les envoie à l’attaquant en temps réel via Telegram.
« Cette technique est notable car elle installe une application de phishing depuis un site tiers sans que l’utilisateur ait à autoriser l’installation d’applications tierces », a écrit Jakub Osmani, analyste pour la société de sécurité ESET. « Pour les utilisateurs d’iOS, cela pourrait remettre en question toute hypothèse de ‘jardin clos’ en matière de sécurité. Sur Android, cela pourrait entraîner l’installation silencieuse d’un type particulier de fichier APK, qui, après examen, semble même être installé depuis le Play Store. »
La méthode innovante consiste à inciter les cibles à installer un type spécial d’application connu sous le nom de Progressive Web App. Ces applications s’appuient uniquement sur des normes Web pour fournir des fonctionnalités qui ressemblent et se comportent comme une application native, sans les restrictions qui l’accompagnent. Cette utilisation des normes Web implique que les PWAs, comme on les appelle, fonctionnent théoriquement sur toute plateforme utilisant un navigateur conforme aux normes, aussi bien sur iOS qu’Android. Une fois installées, les utilisateurs peuvent ajouter ces PWAs à leur écran d’accueil, ce qui leur donne une apparence frappante semblable à celle des applications natives.
Bien que les PWAs puissent s’appliquer à la fois à iOS et Android, le post d’Osmani emploie PWA pour les applications iOS et WebAPK pour les applications Android.
L’attaque commence par un message envoyé par SMS, un appel automatisé ou via une publicité malveillante sur Facebook ou Instagram. Lorsque les cibles cliquent sur le lien contenu dans le message frauduleux, elles ouvrent une page ressemblant au magasin d’applications App Store ou Google Play.
Osmani de chez ESET a poursuivi :
À partir de là, les victimes sont invitées à installer une « nouvelle version » de l’application bancaire ; un exemple de cela peut être vu dans la Figure 2. Selon la campagne, cliquer sur le bouton d’installation/mise à jour lance l’installation d’une application malveillante depuis le site Web, directement sur le téléphone de la victime, soit sous la forme d’un WebAPK (pour les utilisateurs Android uniquement), soit sous la forme d’une PWA pour les utilisateurs iOS et Android (si la campagne ne repose pas sur WebAPK). Cette étape d’installation cruciale contourne les avertissements traditionnels des navigateurs concernant l’« installation d’applications inconnues » : c’est le comportement par défaut de la technologie WebAPK de Chrome, qui est exploitée par les attaquants.
Pour les utilisateurs d’iOS, le processus est légèrement différent, car une fenêtre contextuelle animée indique aux victimes comment ajouter la PWA de phishing à leur écran d’accueil (voir Figure 3). La fenêtre contextuelle imite l’apparence des invites natives d’iOS. En fin de compte, même les utilisateurs d’iOS ne sont pas avertis d’ajouter une application potentiellement nuisible à leur téléphone.
Une fois l’application installée, les victimes sont invitées à soumettre leurs identifiants de banque en ligne pour accéder à leur compte via la nouvelle application bancaire mobile. Toutes les informations soumises sont envoyées aux serveurs de commande et de contrôle des attaquants.
Cette technique est d’autant plus efficace que les informations relatives aux applications associées aux WebAPKs montreront qu’elles ont été installées depuis Google Play et n’ont reçu aucun privilège système.
Jusqu’à présent, ESET est conscient que cette technique est utilisée contre les clients de banques principalement en République tchèque et dans une moindre mesure en Hongrie et en Géorgie. Les attaques ont utilisé deux infrastructures de commandement et de contrôle distinctes, un signe que deux groupes de menaces différents exploitent cette technique.
« Nous nous attendons à ce que d’autres applications contrefaites soient créées et diffusées, car après installation, il est difficile de séparer les applications légitimes de celles de phishing », a déclaré Osmani.
En tant que journaliste, il est crucial de rester vigilant face à ces menaces croissantes. En prenant conscience des méthodes utilisées par les cybercriminels, nous pouvons mieux protéger nos informations personnelles et sensibiliser le public à ces risques de sécurité.