Posté le juin 24, 2019 à 20:36
LES TÉLÉPHONES ANDROID EN DANGER : MÊME L’AUTHENTIFICATION À DOUBLE FACTEUR NE PEUT PAS STOPPER LE NOUVEAU LOGICIEL MALVEILLANT
Les menaces en ligne deviennent de plus en plus sophistiquées et performantes, les dispositifs de sécurité actuels des appareils modernes ne peuvent plus les arrêter. Cela est surtout vrai quand il s’agit de téléphones Android, et les récents rapports de recherche le prouvent.
Il y a quelques semaines, Google a admis qu’un certain nombre d’appareils Android bas de gamme étaient infectés par des logiciels malveillants préinstallés. Cependant, durant leur recherche, les experts découvraient également qu’il y a un logiciel malveillant qui hante le Google Play Store, et qu’il peut contourner les pare-feu de sécurité s’il est téléchargé.
La découverte a été faite par des experts en sécurité de We Live Security de ESET. Ils ont souligné que certaines applications spécifiques, qui peuvent être téléchargées à partir du Play Store, peuvent en fait contourner les restrictions de Google. De plus, les applications malveillantes ne peuvent pas être arrêtées par la 2FA (authentification à 2 facteurs) avant d’accéder aux OTP (mots de passe à usage unique). Selon certaines preuves, il est également possible que le programme malveillant puisse également accéder aux OTP à partir de courriers électroniques.
L’authentification à deux facteurs n’est plus un obstacle
Cela fait longtemps que Google a des problèmes avec les applications malveillantes. Le géant de la technologie bloquait de temps en temps des dizaines d’applications nouvellement découvertes en raison de leur nature malveillante. Puis, le mois mars cette année, la société a restreint les autorisations du journal des appels et des SMS dans les applications Android. On espérait que cela empêcherait les applications de voler les identifiants des utilisateurs et de contourner les 2FA.
Comme beaucoup le savent probablement, le système 2FA est une couche de sécurité supplémentaire dans laquelle les utilisateurs doivent recevoir puis saisir un code spécial pour pouvoir accéder à différents comptes. Ce sont des mots de passe à usage unique que les utilisateurs reçoivent par courrier électronique ou, le plus souvent, par SMS.
Cette solution a été considérée comme une excellente solution et l’a été pendant longtemps. Cependant, les choses ont commencé à changer lorsque hackers ont commencé à publier des applications malveillantes qui demandaient l’accès aux SMS. Étant donné que la plupart des utilisateurs ne font généralement pas attention à l’octroi des autorisations, beaucoup l’ont autorisée et les hackers ont été en mesure de voler des OTP et de les utiliser eux-mêmes, contournant ainsi avec succès le système 2FA.
Google a réagi en empêchant les applications de demander de telles permissions, et maintenant – il semble que ce dispositif de sécurité est contourné par un nouveau logiciel malveillant. Les experts en sécurité croient que l’application se fait passer pour un plateforme d’échange de cryptomonnaie Turque, BtcTurk, basé en Turquie et vole ensuite les identifiants de connexion par le biais du service.
En d’autres termes, au lieu d’essayer d’intercepter les messages SMS et de voler des OTP comme avant, l’application malveillante analyse maintenant l’écran de l’appareil et prend les informations de la notification qui apparaît une fois les codes reçus. De plus, il peut également rejeter les notifications dès qu’il obtient ce dont il a besoin pour que l’utilisateur ne réalise pas ce qui se passe.
Les logiciels malveillants s’évoluent
Bien qu’il soit probable que d’autres techniques de ce type seront utilisées à l’avenir, il s’agit toujours d’une découverte importante, car il s’agit du premier logiciel malveillant qui a réussi à passer outre aux nouvelles restrictions imposées par Google. Bien entendu, le logiciel malveillant s’est déjà répandu et fait désormais partie de plusieurs applications. BTCTurk Pro Beta a été le premier à être découvert. Il a déjà été téléchargé environ 50 fois avant d’être découvert par les chercheurs.
Ensuite, une autre application du même nom téléchargée par un développeur est apparue. Google a également supprimé la deuxième application et le hacker a ensuite téléchargé la troisième application, avec la même fonction, ainsi que le même logiciel malveillant. Avec les nouvelles applications, les chercheurs pensent que les attaques ont également évolué.
Puis, il y a seulement une semaine, les chercheurs ont été informés d’une autre application potentiellement malveillante qui personnifiait un autre échange de cryptomonnaie turc, appelé Koineks. Cette application a également utilisé la même technique, et des recherches ultérieures indiquent qu’elle provient également du même développeur. La conclusion à laquelle parviennent les chercheurs est que les attaquants testent probablement le logiciel malveillant, qui évolue et parvient de mieux en mieux à obtenir des OTP sans accéder ni voler des SMS.
Comme mentionné précédemment, l’annonce de la nouvelle méthode de vol des OTP est intervenue quelques jours seulement après que Google eut déclaré qu’il existait quelques appareils Android bas de gamme livrés avec le programme malveillant préinstallé. La société a discuté en détail du logiciel malveillant connu sous le nom de Triada, et a même confirmé que Doogee, Leagoo et Cherry Mobile l’avait déjà préinstallé. Ce logiciel malveillant a été découvert en 2016 par Kaspersky Labs. Maintenant, il semble que le logiciel soit installé sur les téléphones au cours du processus de la chaîne d’approvisionnement. Selon Google, les cybercriminels ont réussi à compromettre les téléphones Android et à installer une porte dérobée sur plusieurs d’entre eux, ce qui représente une autre menace pour la sécurité des utilisateurs.