L’inventivité des créateurs de virus ne connaît pas de limites. Certaines applications de ransomware ont désormais des capacités de minage, et certains trojans bancaires extorquent leurs victimes. Faketoken a peut-être un nom loufoque, mais ce cheval de Troie bancaire pour les appareils Android est une affaire sérieuse.
Faketoken : Du voleur de SMS au banquier à part entière
Le cheval de Troie bancaire Faketoken existe depuis un certain temps – en 2014, il figurait dans notre liste des 20 menaces mobiles les plus répandues. À l’époque, le malware fonctionnait de concert avec les chevaux de Troie bancaires de bureau. L’application de bureau piratait les comptes des victimes et retirait de l’argent, et Faketoken interceptait les messages texte contenant des mots de passe à usage unique pour confirmer les transactions.
En 2016, Faketoken était devenu un cheval de Troie bancaire mobile à part entière, volant directement de l’argent. Il recouvrait d’autres apps avec de fausses fenêtres pour inciter les utilisateurs à saisir leurs identifiants, mots de passe et informations de carte bancaire. Il fonctionnait aussi efficacement comme un ransomware, bloquant les écrans des appareils infectés et chiffrant leurs fichiers.
En 2017, Faketoken pouvait imiter de nombreuses apps – apps bancaires mobiles, portefeuilles électroniques tels que Google Pay, et même apps de services de taxi et apps de paiement d’amendes et de pénalités – pour voler des données de comptes bancaires.
Un tournant inattendu pour Faketoken
Il n’y a pas longtemps, notre système de surveillance de l’activité des botnets – Botnet Attack Tracking – a détecté que quelque 5 000 smartphones infectés par Faketoken avaient commencé à envoyer des SMS offensifs. Cela semblait bizarre.
La capacité SMS est en fait un équipement standard pour les applications malveillantes mobiles, dont beaucoup se propagent par le biais de liens de téléchargement qu’ils envoient aux contacts des victimes. En outre, les chevaux de Troie bancaires demandent souvent à devenir l’application SMS par défaut afin de pouvoir intercepter les messages de code de confirmation. Mais qu’un logiciel malveillant bancaire se transforme en un outil d’envoi massif de SMS ? Nous n’avions jamais vu cela auparavant.
SMS à l’étranger – à vos frais
Les activités de messagerie de Faketoken sont facturées aux propriétaires des appareils infectés. Avant d’envoyer quoi que ce soit, il confirme que le compte bancaire des victimes est suffisamment approvisionné. Si le compte dispose des fonds nécessaires, le malware utilise la carte pour recharger le compte mobile avant de procéder à l’envoi de messages.
Plusieurs des smartphones infectés par Faketoken envoyaient des SMS vers un numéro étranger, les messages envoyés par le cheval de Troie coûtent donc assez cher aux utilisateurs.
Protection contre Faketoken
Nous ne savons pas encore si cette offensive de Faketoken est une campagne ponctuelle ou le début d’une tendance. Pour l’instant, cependant, pour éviter de se faire piéger :
- Installez uniquement les applications distribuées par Google Play, et utilisez les paramètres de votre téléphone pour désactiver le téléchargement d’applications provenant d’autres sources.
- Ne suivez pas les liens des messages à moins d’être sûr qu’ils sont sûrs – même les messages de personnes que vous connaissez. Par exemple, si une personne qui publie normalement des photos sur les médias sociaux ou les envoie par le biais d’applications de messagerie instantanée vous envoie plutôt un message texte avec un lien, c’est un signal d’alarme.
- Installez une solution de sécurité fiable. Kaspersky Internet Security for Android détecte et bloque Faketoken ainsi que de nombreuses autres apps de logiciels malveillants mobiles.
.