Des chercheurs de Trend Micro racontent dans un rapport publié la semaine dernière, une nouvelle menace à la fois pour des milliers de smartphones Android, et le système d’authentification double facteur par SMS lui-même. Ce mode d’authentification double est souvent critiqué pour son manque de sécurité. Des techniques telles que le SIM Swap, ou des malware permettent d’intercepter ces codes à usage unique permettant à des pirates d’accéder à des comptes très sensibles, notamment bancaires.
Or, les banques ne comptent pas les seuls “comptes vérifiés par SMS sur le smartphone”. Une analyse détaillée des principaux services a d’ailleurs mis au jour l’existence d’une redoutable opération fantôme exploitant un botnet de milliers de smartphones Android vérolés. Cette opération vise à délivrer un service PVA SMS “par proxy” à des acteurs malveillants. Les pirates qui ont recours à ce genre de service ouvrent de nombreux comptes sur des smartphones à l’insu de leur propriétaire.
Ces malware et botnet qui usurpent votre abonnement mobile pour créer des comptes jetables en chaîne
Des comptes jetables qui leur permettront ensuite de mener des activités malveillantes sans laisser de traces. Evidemment, le problème, c’est que dans certains cas, de graves problèmes attendent l’utilisateur du smartphone Android vérolé. En effet, en cas d’enquête de police, les autorités sont d’abord susceptibles de remonter jusqu’aux smartphones sur lesquels ont été créés les comptes malveillants. Trend Micro explique :
“Ce type de service peut être utilisé par des acteurs malicieux dans le but d’enregistrer des comptes jetables en masse, ou créer des comptes vérifiés par téléphone dans le but de mener des activités criminelles notamment de la fraude”, expliquent les chercheurs. Qui ajoutent avoir détecté plus de 5 500 appareils infectés en France. Le pays le plus touché reste néanmoins l’Indonésie (47 357 détections), la Russie (16 157 détections), la Thaïlande (11 196) et l’Inde (8 109).
Les smartphones concernés ont souvent, explique Trend Micro, été contaminés par un malware dès l’étape de production. Les smartphones entrée / milieu de gamme Lava, ZTE, Mione, Meizu, Huawei, Oppo et HTC sont connus pour embarquer un certain nombre de pourriciels, dont les fonctionnalités peuvent ensuite être détournées par des acteurs malicieux pour installer de vrais malware. Et dans certaines instances, des acteurs malveillants réussissent à introduire des malware directement sur les lignes de production.
Les chercheurs expliquent par exemple que ce site proposant de vendre à n’importe qui des numéros de téléphone validables permettant de créer des comptes en masse, smspva.com, mobilise un malware qui intercepte les SMS reçus sur les appareils infectés sans que l’utilisateur ne puisse s’en rendre compte. “Le malware fait profil bas et se contente de collecter les messages textes qui correspondent à une application définie, de sorte qu’il peut poursuivre discrètement son activité sur de longues périodes”, explique Trend Micro.
Et d’ajouter : “si le service SMS PVA laissait ses clients accéder à tous les messages des smartphones infectés, leurs propriétaires se rendraient vite compte du problème”. Alors comment se protéger contre ce problème, et ne plus permettre aux smartphones d’aider les pirates à contourner l’authentification double facteurs ? La première chose à tenter, est d’essayer d’installer un antivirus pour smartphone Android fiable.
Celui-ci ne détectera néanmoins pas toujours le malware en raison de sa discrétion. Pour réduire autant que possible les risques, surtout si vous pensez que votre smartphone entrée / milieu de gamme a été vendu avec un malware, vous pouvez également tenter de reformater l’appareil et y installer un firmware Android alternatif. Au-delà, il semble grand temps de tirer un trait définitif sur ce mode d’authentification, au profit de l’authentification multifacteurs par générateur de code et/ou clé de sécurité physique.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
