Cette campagne, qui date de 2022, mais évolue constamment pour rester efficace, cible les appareils Android. Elle prend appui sur Telegram ou des publicités frauduleuses pour distribuer un voleur d'OTP grâce aux autorisations SMS. En ligne de mire, le site web Fast SMS.
Aujourd'hui, télécharger et installer une application sur son smartphone est devenu aussi simple et rapide que de respirer. Mais ce réflexe nous fait parfois oublier les précautions que nous devons prendre, autant vis-à-vis du store sur lequel nous sommes que des autorisations d'accès à ces applications que nous donnons.
Ce sont ces automatismes et cette confiance quasiment aveugle que les hackers utilisent pour nous piller en ciblant les utilisateurs de mobiles Android. Dans cette campagne, bien que déjà vieille de 2 ans, ils se font passer soit pour les applications légitimes à télécharger, soit pour des chatbots Telegram censés vous guider. Dans les deux cas, bien évidemment, le but est de vous infecter pour ensuite vous piller.
Si vous connaissez la chanson, un couplet est cependant inédit : les loups déguisés en moutons n'en veulent qu'à vos SMS pour mieux voler vos OTP, fameux codes d'authentification à usage unique et ensuite, munis de ce passe-partout, vous dépouiller.
Chatbots Telegram et publicités frauduleuses, les deux portes d'entrée des hackers dans vos smartphones Android
Les hackers ne passent pas par quatre chemins pour s'incruster dans vos mobiles Android. Deux suffisent. Le premier loup déguisé en mouton est un faux chatbot Telegram. Il est en embuscade et attaque dès lors qu'une de ses proies part à la recherche d'applications sur la plateforme. Se faisant passer pour un bot de ces apps légitimes, il dirige alors l'utilisateur vers le piège des hackers.
Le deuxième prédateur se camoufle dans les publicités frauduleuses. Ce type de malvertising est de plus en plus répandu, tant et si bien qu'on ne sait plus très bien, lorsqu'on clique sur une publicité, si elle est légitime ou pas. La copie est quasiment conforme à l'identique, trompe votre confiance et vous guide vers un site web, là encore, en apparence légitime. Erreur fatale.
Dans les deux cas, à votre insu, vous avez été le bras armé de votre prédateur, qui a infecté votre mobile Android avec un malware. Et ce malware va s'attaquer principalement aux autorisations que vous donnez ou avez données aux applications, comme l'accès à vos SMS, dans le but de pouvoir voler le saint Graal : les OTP, ces mots de passe ou codes à usage unique qu'un site ou une application vous demande à chaque connexion, dans le cade de la MFA ou la 2FA, la double authentification. Muni de ce précieux sésame, le hacker dispose alors de vos autorisations pour son bon plaisir.
Le site Fast SMS dans la ligne de mire
Les chercheurs de la plateforme de cybersécurité Zimperium ont découvert un lien troublant entre cette campagne et le site Fast SMS. Ce service propose l'achat de numéros de téléphone « virtuels » dans divers pays, officiellement pour des besoins d'anonymisation ou de vérification de services en ligne. Or, le malware exfiltre directement les SMS volés vers une API liée à ce site.
Il est probable que les pirates utilisent les appareils infectés comme relais pour leurs activités frauduleuses. Les victimes pourraient ainsi voir leur numéro de téléphone utilisé à leur insu pour créer de faux comptes ou valider des transactions illégales. En gros, si vous tombez dans le piège, vous devenez complice de cyberdélinquance.
Pour éviter de tomber dans le piège, restez vigilant face aux publicités trop alléchantes pour des applications Android. Ne téléchargez jamais d'APK en dehors du Google Play Store officiel. Méfiez-vous également des bots Telegram promettant des versions crackées d'applications payantes : c'est souvent trop beau pour être vrai.
Vérifiez toujours les autorisations demandées par une application lors de son installation. Un simple jeu n'a aucune raison légitime d'accéder à vos SMS. Enfin, activez la protection Play Protect sur votre appareil Android pour une couche de sécurité supplémentaire.
- Plus de 2,5 millions de références disponibles
- Navigation intuitive
- Téléchargements et paiements sécurisés
Sources : Bleeping Computer, Zimperium