Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.
Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.
Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.
Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.
Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.
« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.
Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.
Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.