Vous êtes sur la page 1sur 3

Android : vague inquitante de chevaux de Troie bancaires

en France
01net.com /actualites/android-vague-inquietante-de-chevaux-de-troie-bancaires-en-france-1176282.html
Gilbert
KALLENBORN

On ne peut pas le dire assez souvent : il ne faut pas tlcharger des applications mobiles Android directement
depuis un lien reu par SMS ou intgr sur une page web pornographique. On est quasiment certain de ramasser
des logiciels vrols. Lun dentre eux se diffuse de cette manire avec un succs non ngligeable, savoir le botnet
Marcher . Il sagit dun cheval de Troie bancaire qui se fait passer pour une application lgitime et connue, telle
que Runtastic, WhatsApp ou Netflix. Ce malware existe en plus dune dizaine de versions diffrentes, chacun crant
un botnet de plusieurs milliers de terminaux zombies.

Toutes les banques franaises sont vises

En fvrier 2017, les chercheurs en scurit de Securify B.V. ont analys lun de ces botnets. Il tait principalement
actif en France et en Allemagne, avec respectivement 2198 et 5696 victimes. Ils sont en train den analyser un autre
du mme ordre de grandeur, qui a t baptis HisHeatWant et qui totalise dj plus de 8600 zombies. L encore,
la France et lAllemagne semblent tre les plus touchs, en piratant des comptes dune quarantaine dapplications
bancaires. Toutes les banques franaises sont vises: ING, Axa, Banque populaire, BRED, Socit gnrale, BNP
Paribas, Fortuneo, B For Bank, CIC, Carrefour, Caisse dEpargne, LCL, Crdit agricole, etc.

Comment se passe linfection ? Quand on installe cette fausse appli, elle demande toute une srie de droits daccs
inhabituels qui devraient mettre la puce loreille. Pour rcuprer les identifiants bancaires de lutilisateur, elle utilise
deux techniques : le transfert de SMS pour mettre la main sur les codes dauthentification envoye par la banque ;
et des interfaces bidon qui simulent la perfection les applications bancaires vises. Concrtement, le malware
attend que lutilisateur ouvre son appli bancaire. Immdiatement, il va alors gnrer une fausse page de connexion
qui va venir se mettre par-dessus la vritable application. Lutilisateur ne remarque rien et rentre ses identifiants
sans savoir quils seront transfrs aux serveurs de commande et contrle de pirates informatiques.

1/3
Securify Labs -

Les pirates ne ciblent dailleurs pas seulement des applications bancaires, mais aussi des applications populaires
comme Instagram, le Play Store, Facebook, Gmail, Amazon ou Skype. L encore, le malware va gnrer un
overlay graphique qui incitera lutilisateur rentrer des donnes de cartes bancaires.

Securify Labs -

Daprs les analyses de Securify et Fortinet, le code du malware est assez sophistiqu, notamment quand il sagit
dviter les chercheurs en scurit et les antivirus. Il dispose ainsi de toute une batterie de tests qui lui permettent de
savoir sil est install sur un vritable smartphone ou dans un mulateur, et didentifier les ventuels antivirus
installs. Le cas chant, le malware va faire en sorte que lutilisateur ne puisse jamais utiliser son antivirus. Dans le
cas de HisHeatWant , les pirates auraient russi rcuprer plus de 750 identifiants bancaires et 206 numro de
cartes bancaires.
2/3
Le problme, cest quil ne suffit pas de limiter ses tlchargements applicatifs Play Store pour tre en scurit.
Les pirates arrivent rgulirement placer certaines de leurs applications vroles sur la boutique de Google. Cest
le cas tout rcemment de BankBot, un cheval de Troie bancaire que Securify a galement analys et qui utilise
presque le mme modus operandi. Il se camoufle dans de fausses applis de vidos fun . Une fois install, il
cherche siphonner les identifiants par des crans de connexion bidon. Bref, restez sur vos gardes.

3/3