Le phishing au colis est de retour. Mais cette fois, il embarque un malware capable de dépouiller votre compte bancaire.

En ce début d’avril 2021, un SMS aussi expéditif qu’étrange a été reçu par de nombreux Français et Françaises, dont l’auteur de cet article. « Votre colis a été envoyé. Veuillez le vérifier et le recevoir. »

À la suite du message se trouve un lien « tinyurl », un lien raccourci, cache le vrai lien de destination. Aucun moyen non plus de savoir qui a envoyé le SMS : un vendeur ? Un service de livraison ? Ou bien des malfaiteurs ? La formulation du message, bien que correcte grammaticalement, ne sonne pas juste, comme si elle était traduite d’une langue étrangère. Pourtant, le message semble venir d’un numéro français.

Nous avons reçu le phishing un lundi soir, sans nous douter qu’il cachait un malware. // Source : Capture d’écran Cyberguerre

Ce SMS a des allures de déjà-vu : il reprend la construction du phishing au « droit de douane » ou à « l’affranchissement  » de colis, un grand classique des malfaiteurs, dont il existe des dizaines de variantes. L’idée : jouer sur votre crainte de ne pas rater la réception d’un colis pour précipiter votre erreur. Ce phishing revient à intervalles réguliers, habillé aux couleurs de différentes entreprises de livraison : Colissimo, FedEx, UPS… Habituellement, les malfrats redirigent leurs cibles vers une fausse page de l’entreprise qu’ils imitent, dans le but d’extorquer leurs informations personnelles, et surtout, leurs données bancaires.

Lorsque je reçois le SMS sur mon iPhone, lundi 6 avril, je clique donc dessus pour voir s’il cache la combine habituelle. Raté : le lien me renvoie vers un nom de domaine sans queue ni tête « keypugwnhw[.]duckdns.org/?ulkmaloyxk ». J’y trouve une page blanche, et c’est tout. Je décide de passer à autre chose. Après tout, peut-être que les malfrats ont simplement mal configuré leur phishing.

Mais trois jours plus tard, Maxence contacte Cyberguerre : un de ses amis a reçu le même phishing, sauf qu’il a ouvert le lien sur un smartphone Android. Le site lui a alors affiché un message « afin d’avoir une meilleure expérience, veuillez mettre à jour votre navigateur Chrome à la dernière version », puis lui a proposé de télécharger le fichier « mxpcqpgjyk.apk ».

Si vous ne le savez pas, les APK sont des sortes de kits d’installation pour les applications Android. Autrement dit, en téléchargeant le fichier, la cible du phishing télécharge une app. Aurions-nous trouvé la trace d’une app malveillante ? Contactée par Cyberguerre, l’équipe de recherche d’Evina (une entreprise de cybersécurité spécialisé dans la fraude bancaire) a confirmé cette hypothèse : le faux SMS de livraison cache un malware de la famille des « bankers ».

Le malware se cache sous une icône invisible

Une fois l’APK téléchargée, l’app s’installe. Elle prend l’apparence de Google Chrome, le navigateur internet par défaut des smartphones Android, afin de demander des autorisations d’accès à l’utilisateur. Son objectif : obtenir le droit d’envoyer et recevoir des appels ; d’envoyer et recevoir des SMS ; d’accéder aux photos et autres fichiers de l’appareil ; et d’accéder au répertoire de contacts.

À l’écran, le malware affiche deux icônes : une copiée sur Chrome, et une autre transparente (et donc en quelques sortes invisibles). «  Lorsque vous cliquez sur une des deux icônes, l’icône visible sera supprimée pour ne laisser place qu’à l’icône invisible », précisent les chercheurs dans l’analyse qu’ils ont remise à Cyberguerre.

À droite, l’icône Chrome qui cache le malware, au centre, l’icône invisible. // Source : Evina

Le « banker » va agir en coulisses, hors du regard de l’utilisateur. Il va dans un premier temps collecter toutes sortes d’informations, et les envoyer par Internet à un serveur contrôlé par les malfaiteurs — d’ailleurs, le malware peut activer le WiFi lui-même. Il va lister les applications installées sur l’appareil, le numéro de téléphone de la victime, le numéro de série de la carte SIM ou encore la liste des contacts.

Ensuite, il passe à la vitesse supérieure. Vous vous en doutez, si ce genre de malware est nommé « banker », c’est parce qu’il a pour objectif de mettre la main sur le compte bancaire de la victime. Pour y parvenir, le logiciel malveillant va déployer un nouveau piège. «  Il affiche une fausse page web qui explique que l’accès au compte bancaire a été bloqué et qu’il faut le réactiver », écrivent les chercheurs. Cette page affiche un formulaire qui demande une série d’informations, prétendument pour rétablir l’accès au compte :

  • Le numéro de compte ;
  • Le mot de passe pour l’espace bancaire ;
  • Le prénom, nom, l’adresse et la date de naissance de la victime ;
  • Les détails de la carte bancaire.

Bien sûr, ces informations sont immédiatement transmises à des serveurs contrôlés par les hackers. Une fois que les malfrats les ont récupérées, plus rien ne les empêche de se connecter au compte bancaire de la victime, et d’y effectuer des opérations. Grâce aux autorisations accordées au malware, ils peuvent lire les SMS et les notifications de l’utilisateur, et s’en servir pour récupérer les éventuels codes nécessaires à la validation des transactions.

Et ce n’est pas tout : ils vont aussi pouvoir se servir du smartphone de la victime pour envoyer leur phishing à d’autres personnes, par exemple à ses contacts. Ainsi, ils diffuseront efficacement le malware.

Le malware n’est pas des plus virulents

Malgré ses capacités dangereuses, ce malware est relativement peu complexe par rapport aux autres logiciels de sa famille. Les bankers les plus développés mettent en place des moyens de collecte des informations bancaires plus subtils qu’un simple phishing : certains clonent les apps des banques, d’autres enregistrent les frappes sur le clavier du smartphone, d’autres encore sont capables de prendre des captures d’écrans. Ici, même si les malfaiteurs parviennent à convaincre la victime de télécharger le malware, ils doivent encore espérer qu’elle morde au phishing présenté par le logiciel malveillant.

Les malfrats n’ont pas fait assez d’efforts

Ce manque de subtilité des malfrats se retrouve tout au long de leur phishing, et ils laissent ainsi plusieurs portes de sortie à leurs victimes. Avec quelques mots supplémentaires et l’affichage du nom d’un service de livraison de colis, le SMS initial serait bien plus convaincant. De même, le nom du site et celui du fichier APK ont de quoi attirer la suspicion de la victime. Surtout, ils cassent la continuité du scénario de la livraison de colis, censé être la raison des actions de leur victime.

Des hackers sophistiqués auraient fait croire que l’APK permettait d’installer une application Laposte ou Colissimo prétendument nécessaire pour recevoir le colis. Ici, la cible du phishing peut facilement déceler l’entourloupe : pourquoi devrait-elle télécharger un fichier quelque chose pour mettre Chrome à jour ? Surtout, pourquoi ce fichier d’installation n’aurait pas le mot Chrome dans son nom ?

La maladresse — ou l’incompétence — des malfaiteurs est une aubaine pour les victimes : d’autres campagnes de phishings comme celle aux couleurs de TousAntiCovid, ne leur laisse pas autant de chances de se rattraper.

Comment désinstaller le malware ?

Vous avez mordu au phishing ?

  • Commencez par prévenir votre banque, si ce n’est pas déjà fait.
  • Ensuite, les chercheurs d’Evina précisent qu’il suffit de désinstaller l’app vérolée depuis le menu « application » de votre appareil pour s’en débarrasser. Comme pour n’importe quelle application de votre smartphone, allez dans le menu, cliquez sur l’icône de l’app, puis sur « désinstaller ».

Puisque le malware se cache sous l’apparence de Google Chrome, vous devez faire attention à bien distinguer les deux. L’équipe d’Evina note que le malware ne pèse que quelques kilooctets (Ko), alors que la vraie app fait plusieurs centaines de mégaoctets (Mo). Autre moyen de vérification : dans les paramètres, il est possible de voir de quelles autorisations dispose l’app, comme sur l’image ci-dessous :

À gauche, les autorisations demandées par le vrai Chrome, à droite, celles demandées par le faux. // Source : Evina

Pour conclure : un petit rappel à tous les utilisateurs d’Android. Ne téléchargez des applications que depuis le Google Play Store, et utilisez un antivirus. Ces deux précautions ne vous protègeront pas de l’intégralité des menaces, mais elles suffiront pour vous éviter ce genre de mésaventure.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux