Mise à jour du 4 décembre à 17h35 :
Le site qui permettait de télécharger la fausse application TousAntiCovid n’est plus accessible, 7 heures après la publication de cet article, et 2 jours après les premiers envois de SMS frauduleux. Par conséquence, les personnes visées par le phishing ne peuvent plus tomber dans le piège tendu par les cybercriminels. Le phishing avait fait l’objet de nombreux signalements auprès des services impliqués dans sa mise en place.
Article d’origine publié le 4 décembre à 10h00
Jeudi 3 décembre, Théo contacte Numerama au sujet d’un étrange SMS qu’il a reçu la veille, à 18h23. Le message reprend mot pour mot le SMS de promotion de TousAntiCovid envoyé par le gouvernement dans le week-end. Même l’émetteur du message s’affiche comme « GOUV.FR ».
Théo, développeur web de métier, remarque immédiatement que quelque chose cloche, puisqu’il a reçu le vrai SMS du gouvernement deux jours plus tôt, sous l’identité « Gouv.fr ». Il soupçonne le second message d’être un phishing. Au jeu des différences, un autre détail lui saute aux yeux : le SMS officiel renvoie vers « http://bonjour.tousanticovid.fr », le site officiel pour télécharger l’app de traçage des contacts française. Le SMS frauduleux l’a quant à lui remplacé par un lien vers : https://bit[.]ly/AntlCovid19.
À gauche, le vrai message du gouvernement, reçu le lundi par Théo. À droite, le SMS de phishing reçu 2 jours plus tard. // Source : Numerama
Bit.ly est un raccourcisseur de lien : il permet, par exemple, de réduire une adresse trop longue pour que le message rentre dans la limite de caractères du SMS. Mais il permet aussi de dissimuler en partie la destination du lien, et est donc utilisé par les pirates pour cette propriété. Ici les malfrats ont choisi un nom, « AntlCovid19 », proche de celui de l’app, à un détail prêt : le « i » de « Anti » est remplacé par un « l ». C’est une supercherie souvent utilisée : la différence entre la lettre « l » et le « i » majuscule est particulièrement difficile à voir pour la cible du subterfuge.
Ce lien bit.ly dirige vers la page covid[.]tousensemble[.]app. C’est une parfaite copie du site officiel, qui affiche en gros le logo et le message de promotion de TousAntiCovid. Et bien sûr, la page présente deux liens pour télécharger l’app, mais uniquement sur les smartphones Android, alors que la vraie application est aussi disponible sur iOS, le système d’exploitation d’Apple.
À gauche, la page web des malfaiteurs. À droite, le site officiel de TousAntiCovid // Source : Captures Numerama
Les pirates ont soigné les détails : ils ont créé une fausse page du Google Play Store, hébergée sur leur site. C’est un détail important, puisque Google vérifie la sécurité des apps du Store, et s’il lui arrive de se rater, c’est en général un signe de confiance pour l’utilisateur, qui sait généralement que télécharger des apps hors de ce cadre l’expose à des dangers.
Lorsque nous cliquons sur le lien, le site nous propose de télécharger un fichier, tousanticovid.apk. Les APK sont des fichiers qui contiennent les éléments nécessaires à l’installation d’une application, donc rien d’anormal. Sauf que malgré son nom, le fichier n’installera pas TousAntiCovid, mais bien une application malveillante. Et pas n’importe laquelle : son objectif est d’extraire les identifiants, mots de passe, et SMS de double authentification d’une large liste d’applications, de votre compte bancaire à Facebook et WhatsApp.
Alien, malware capable d’aspirer tous les identifiants
Pour analyser l’application, Cyberguerre a contacté Maxime Ingrao, chercheur spécialisé Android chez Evina. Après une petite heure d’analyse, son diagnostic tombe : « C’est un malware de la famille Alien, une évolution de Cerberus. C’est donc avant tout un malware bancaire. Il récupère les identifiants des applications bancaires, mais il cherche aussi les identifiants de nombreuses autres apps populaires comme Facebook, WhatsApp, LinkedIn… » Concrètement, le programme s’appuie sur une large liste d’apps (226, selon ZDNet), inscrite dans son code, dont il va tenter de récupérer les identifiants.
Pour y parvenir, le logiciel malveillant dispose de toute une palette d’outils. Maxime Ingrao énumère : « Il est capable d’enregistrer toutes les actions sur le téléphone, comme l’ouverture d’une app ; il peut récupérer tous les contacts et les noms des applications installées ; il capture tout ce qui est tapé sur le clavier, et ce qu’il se passe à l’écran. »
Résultat : Alien dérobe toutes sortes d’informations et les expédie vers un serveur détenu par les pirates, situé en Allemagne. Et puisqu’il a accès aux SMS de la victime, le malware peut aussi valider les codes de double authentification envoyés sur le smartphone, qui sont nécessaires pour se connecter aux comptes les mieux sécurisés.
Alien se donne lui-même certaines autorisations
Heureusement, le malware ne peut pas déployer son arsenal sans certaines autorisations, ce qui laisse une occasion à la victime de découvrir la supercherie. « Quand nous démarrons l’app, elle demande entre autres de désactiver Google Play Protect [l’app de détection des malwares préinstallée sur les Android, ndlr]. Après, elle a carte blanche sur tout le smartphone », constate le chercheur. Lors d’un second test du malware, l’expert n’a eu qu’à « activer les paramètres d’accessibilité ». Le programme malveillant s’est ensuite chargé lui-même d’ouvrir une fenêtre pour désactiver Play Protect, puis s’est octroyé les autorisations nécessaires à ses méfaits : contact, micro, SMS…
Alien est extrêmement difficile à désinstaller
Une fois l’installation terminée, l’icône de l’app (copiée sur TousAntiCovid) disparaît. Quand Maxime Ingrao nous a contactés la première fois, il n’était toujours pas parvenu à la désinstaller. « Le programme supprime l’icône, donc il n’est pas dans le menu classique. On peut le retrouver dans les paramètres, mais si on clique sur le bouton ‘désinstaller’, il nous fait revenir en arrière. J’ai donc essayé de la désinstaller avec des lignes de commandes, il a éteint mon téléphone… », raconte le chercheur. Mais il finit par trouver une solution : réactiver le Play Protect en passant par le Google Play Store. L’anti malware détectera Alien et proposera de la supprimer. Sauf que le programme malveillant ne se laisse pas toujours faire : dans certains cas, il ouvrira un formulaire bancaire à chaque tentative de connexion au Store.
Si vous avez installé le cheval de Troie, la meilleure option reste de réinitialiser votre smartphone, mais elle est synonyme de perte de données si vous ne les stockez pas autre part. Vous pouvez consulter cet article de Frandroid qui détaille étape par étape la procédure.
N’importe qui peut se présenter comme le gouvernement par SMS
Maxime Ingrao termine son rapport par un constat : « Le code du programme est bien protégé ». Le hacker éthique Adrien Jeanneau, que Numerama a également contacté, abonde : « J’ai rarement vu des APK de campagnes de phishing aussi ‘blindées’ ». Toute la mécanique du phishing, du SMS au programme virulent, est particulièrement bien huilée.
On peut supposer que la ou les personnes à l’origine de l’attaque sont très expérimentées, car ils ont pensé à tous les petits détails : « Ils utilisent des services de Cloudflare sur leur domaine, c’est plutôt malin dans ce genre de campagne, car cela permet souvent de passer quelques vérifications de sécurité anti-phishing », constate Adrien Jeanneau. Il remarque également que le nom de domaine a été déposé le 2 décembre, le même jour que la réception du phishing par notre source.
Les pirates ont pu envoyer un message sous le nom « GOUV.FR », utilisé (à quelques majuscules près) par le gouvernement deux jours avant. // Source : Montage Numerama
Qui se cache derrière l’envoi du SMS ? Le mystère semble difficile à résoudre. Et pour cause, l’affichage « GOUV.FR » cache l’émetteur. « La problématique des SMS est la même que nous avions pour les emails il y a dix ans : il n’y a pas d’authentification de l’expéditeur », explique à Numerama Adrien Gendre, Chief Solution Architect de Vade Secure.
Concrètement, n’importe qui peut afficher son SMS comme provenant de « Gouv.fr » à son destinataire : soit la personne a les compétences techniques pour mettre en place le subterfuge par elle-même, soit elle peut utiliser une des nombreuses apps qui l’automatisent. D’autres services permettent quant à eux l’envoi de SMS en masse avec un nom d’émetteur, pour un prix entre 6 et 7 centimes le SMS. « Il n’y a aucun moyen facile de détecter quel numéro se cache derrière le nom. Un utilisateur n’a pas d’autre choix que de le signaler et d’attendre que les opérateurs prennent le sujet en main » relève Adrien Gendre.
Peu importe qui a envoyé le phishing, il a fait preuve d’un degré de sophistication extrêmement rare pour un phishing diffusé, semble-t-il, à grande échelle. De quoi ouvrir une enquête ?
Mise à jour du 4 décembre à 12h45 :
Deux heures après la publication de notre article, le compte officiel de TousAntiCovid, tenu par le gouvernement, a mis en garde contre la campagne de phishing dans un tweet : « Attention : tentative d’hameçonnage en cours sur Android La campagne de SMS du gouvernement est terminée depuis mercredi », dit-il.
Encore deux heures plus tard, aux alentours de 14h45, nous avons observé que le site frauduleux commençait à être bloqué — certains journalistes de la rédaction n’y avaient plus accès.
Cet article a été publié initialement le 4 décembre à 10h
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
