Posté le mars 22, 2021 à 13:22
LES UTILISATEURS D’ANDROID SONT INCITÉS À INSTALLER L’APPLICATION CLUBHOUSE CONTENANT UN LOGICIEL MALVEILLANT
Des chercheurs en sécurité ont mis en garde contre les arnaqueurs qui utilisent l’application de chat audio Clubhouse et diffusent un logiciel malveillant via de fausses versions Android de l’application. Selon les rapports, le logiciel malveillant vole les données de connexion de plus de 450 applications.
Clubhouse a gagné en importance au cours des derniers mois, car de plus en plus de participants ont commencé à utiliser ses salles de chat audio pour discuter de tout, des relations amoureuses à la politique. L’application n’a été lancée que l’année dernière, mais elle a été téléchargée près de 13 millions de fois, ce qui en fait l’une des applications de chat les plus en vogue.
Cependant, l’application ne peut être téléchargée que sur le marché des applications mobiles de l’App Store d’Apple. Elle n’a pas encore de version pour Android.
Mais les cybercriminels profitent de cette indisponibilité pour tromper les utilisateurs d’Android et installer un logiciel malveillant sur leurs appareils. Les criminels ont créé une fausse application Android pour Clubhouse et la diffusent via une fausse application Clubhouse qu’ils ont créée à cet effet.
Lukas Stefanko, chercheur en sécurité à la société de cybersécurité ESET, a déclaré que le site Web créé par les fraudeurs a une ressemblance avec le site Web original de Clubhouse, ce qui le rend plus convaincant pour les utilisateurs d’android. « Pour être franc, il s’agit d’une copie bien exécutée du site Web légitime de Clubhouse », a déclaré Stefanko.
La fausse application Clubhouse pour android contient un cheval de Troie appelé « BlackRock », qui vole des informations aux utilisateurs d’android victimes de l’arnaque.
Les services ciblés comprennent les plateformes de messagerie, les services de médias sociaux, les échanges de crypto-monnaies, les achats et les applications financières.
Le site web malveillant invite également les utilisateurs à télécharger l’application directement sur le site plutôt que de passer par Google Play. Pour une application Android, certains utilisateurs se sont montrés sceptiques car le site ne propose pas d’option de téléchargement via Google Play comme pour les autres applications Android.
Une opportunité pour les criminels
Les cybercriminels ciblent généralement les expériences en ligne qui deviennent populaires. Mais l’un des problèmes de la création d’une expérience en ligne est de ne pas la proposer à la fois en version Apple et en version Android. Lorsque l’expérience devient virale sur une version, ceux qui possèdent l’autre version seront impatients de vivre une telle expérience.
Cela laisse une fenêtre d’opportunité pour les cybercriminels qui pourraient vouloir exploiter les utilisateurs en fournissant une fausse version. Selon Tim Mackey, principal stratège en matière de sécurité chez Synopsys, c’est exactement ce qui s’est passé dans ce récent incident. La façon dont les victimes potentielles découvrent ce site n’est pas claire, mais Stefanko a souligné que le site est probablement diffusé par des sites tiers, des forums ou des médias sociaux.
Le site comporte un bouton où les victimes sont invitées à télécharger l’application. Lorsqu’elles cliquent sur le bouton, le cheval de Troie BlackRock est installé sur leur système. Le cheval de Troie a été découvert en juillet de l’année dernière. Il s’agit d’une forme du cheval de Troie LokiBot qui attaque le système financier ainsi que certaines applications populaires sur les appareils Android.
Le logiciel malveillant cible les principales applications de l’appareil de la victime
La liste des applications que le logiciel malveillant peut infecter sur les appareils comprend Lloyds Bank, BBVA, Cash App, Plus500, Coinbase, eBay, Outlook, Netflix, Amazon, WhatsApp, ainsi que Twitter.
Le cheval de Troie utilise une attaque par superposition pour glisser les informations d’identification. Il s’agit de l’une des méthodes d’attaque les plus courantes pour les applications Android malveillantes. En général, le logiciel malveillant crée une superposition de l’application que la victime souhaite utiliser et demande à l’utilisateur de se connecter.
Mais en se connectant, la victime révèle sans le savoir ses données de connexion au cybercriminel.
L’application malveillante demande également à la victime d’autoriser des services d’accessibilité sur le téléphone afin d’accorder des autorisations à l’insu de la victime.
Le logiciel malveillant est capable de profiter de l’authentification à double facteur
Ces autorisations, une fois accordées, permettent au logiciel malveillant d’avoir accès aux SMS, aux caméras, aux contacts et à d’autres domaines.
Si les malfaiteurs peuvent accéder aux SMS, cela peut également leur donner accès à l’authentification à deux facteurs basée sur les SMS, qu’ils peuvent utiliser pour d’autres infiltrations et attaques. Ils peuvent contourner les protections 2FA sur le téléphone Android de l’utilisateur pour toute application qui envoie les codes 2FA sur le téléphone.
Au lieu d’utiliser « Clubhouse » comme nom, l’application utilise le mot « install », ce qui est une bonne indication qu’elle est malveillante. Toutefois, l’inquiétude vient du fait que les développeurs du logiciel malveillant pourraient concevoir des logiciels malveillants plus sophistiqués à l’avenir, qui pourraient être très difficiles à détecter.
