Deux trojans sous Android cassent la sécurité des banques
Deux nouveaux Trojans (chevaux de Troie) ont été découverts sous l'OS Android. Baptisés Tatanga et SPITMO, ils permettent aux hackers de casser le système de vérification par SMS utilisé par les banques européennes afin d'éviter les fraudes.
La société de sécurité Trusteer met en garde contre un Trojan sous Android qui permet aux hackers de casser le système de vérification de transfert d'argent par SMS utilisé par les banques européennes.
Ces attaques, de type Man-In-The-Middle (MitM), et basées sur la technologie 2FA ont commencé il y a près d'un an. Les attaques Man-In-The-Middle consistent à intercepter les communications de façon totalement invisible.
Les hackers se sont basés sur la simple observation que la sécurité apparente de la vérification par SMS est également sa plus grande faiblesse si les pirates sont capables de pirater le smartphone.
Le mot de passe unique par SMS ou la transaction par code secret (PIN) ressemblent à un moyen d'exclure les fraudeurs en ligne qui ont eu la possibilité d'accéder au compte en ligne de l'utilisateur. Mais les utilisateurs infectés par ces trojans sont invités à donner leurs numéros de téléphone afin de télécharger une application de sécurité et ne savent pas qu'ils ont été piratés.
Après s'être rendu sur le site pour télécharger l'application (...)
Photo : Amit Klein - CTO de Trusteer (D.R)
Après s'être rendu sur le site pour télécharger l'application, l'utilisateur entre un code d'activation, qui est en fait un moyen pour les hackers de reconnaître le smartphone. Ceux-ci sont donc ensuite libres de capturer l'intégralité du trafic échangé sur son terminal.
L'entreprise Trusteer a observé les premières attaques mobiles, basées sur le cheval de Troie Tatanga récemment, ainsi qu'une nouvelle configuration, adaptée au mobile, du Trojan SpyEye baptisée SPITMO (SpyEye In The Mobile).
Le fonctionnement de l'attaque varie selon les pays et cible un éventail des principales banques en ligne européennes, en particulier celles de l'Espagne et l'Allemagne.
« Une fois que les fraudeurs ont infecté l'utilisateur et son smartphone, très peu de mécanismes de sécurité peuvent empêcher que la fraude ne se produise, » a déclaré le CTO de Trusteer, Amit Klein, dont la compagnie offre des outils spécialisés dans le blocage de ces attaques.
D'où proviennent ces attaques ? Peut-être de la Chine ou des Etats-Unis, les deux pays dans lesquels les faux sites sont enregistrés, mais cela n'est pas une certitude.
« Cette découverte confirme que les attaques de type Man-in-the-Middle se concentrent principalement sur les terminaux Android. Plusieurs études montrent que, dans les pays ciblés par les attaques, plus de 60% des dispositifs touchés sont sous Android » déclare Amit Klein.
Selon lui, « La popularité d'Android ainsi que la relative facilité de développement et de distribution d'applications sont probablement les raisons pour lesquelles les cybercriminels ciblent ce système d'exploitation pour des attaques de logiciels malveillants. »
L'attaque trouve un moyen de contourner les systèmes d'authentification en deux temps qui commencent à devenir communs sur de nombreux systèmes de services bancaires en ligne, notamment ceux accessibles par mobile. Compte tenu de la relative simplicité de l'attaque mise en cause, il s'agit d'une grande menace et d'un boulevard ouvert aux attaques de hackers.
« Avec près de 60 % du marché et une réputation de sécurité faible en termes d'applications, c'est sans surprise qu'Android est devenu la cible privilégiée des malwares financiers » conclut Amit Klein.
