TousAntiCovid : ne vous faites pas avoir par ce faux SMS

 

Une campagne de phishing visant les utilisateurs Android a été détectée et décortiquée par le média spécialisé Cyberguerre, verticale de Numerama. Les pirates ont notamment envoyé un faux SMS en se faisant passer pour le gouvernement, incitant les personnes visées à télécharger l’application TousAntiCovid… qui est en fait un programme malveillant bancaire.

TousAntiCovid

L’application TousAntiCovid // Source : Frandroid

Si vous avez reçu un SMS du gouvernement sur votre téléphone Android après le mercredi 2 décembre 2020, alors la vigilance est de mise. Car une campagne de phishing sévit actuellement en France, comme le révèle la verticale cybersécurité de Numerama, Cyberguerre. Dans un tweet publié le vendredi 4 décembre, le compte twitter TousAntiCovid annonce que sa campagne de SMS a été clôturée depuis mercredi.

Or, plusieurs personnes ont entre temps reçu un message suspicieux les invitant à télécharger l’application mobile TousAntiCovid. Un message qui ressemble comme deux gouttes d’eau à celui du gouvernement récemment envoyé aux Français. Mais en y jetant un œil plus attentif, quelques petites différences peuvent être mises en exergue.

Un SMS très ressemblant

En premier lieu, l’adresse URL indiquée dans le message frauduleux suscite la méfiance : elle correspond en effet à un lien raccourci Bit.ly, contre l’adresse « http://bonjour.tousanticovid.fr » normalement envoyée par l’État. Le lien raccourci comporte la mention « AntlCovid19 » pour ressembler le plus possible au nom de l’application, remarque CyberGuerre.

À gauche, le SMS officiel. À droite, le SMS frauduleux

À gauche, le SMS officiel. À droite, le SMS frauduleux // Source : CyberGuerre by Numerama

Problème : le « i » de « Anti » a été remplacé par un « l » minuscule forcément ressemblant. Une technique courante, que l’on peut aussi utiliser avec les lettres « rn » pour simuler un « m ». Autre différence notable, le nom du destinataire : « GOUV.FR » en l’occurrence, contre « Gouv.fr » utilisé par les autorités officielles. Ce sont des petits détails, certes, mais qui peuvent justement berner le commun des mortels.

L’adresse URL malveillante mène alors à une page internet dont l’interface est très similaire à celle du site officiel, avec une soi-disant application à télécharger dessus qui est en fait un fichier APK nommé tousanticovid.apk. Sauf que seuls les propriétaires d’un smartphone Android y ont le droit, alors que l’application officielle est aussi bien compatible sur les appareils Android qu’iOS. Là encore, cela renforce les soupçons de fraude.

Un malware bancaire très sophistiqué

Le fichier en question est en fait un programme malveillant qui vous invite à désactiver Google Play Protect pour ainsi s’immiscer au sein de votre appareil mobile et récolter un grand nombre de données… notamment bancaires. Car d’après Maxime Ingrao, chercheur spécialisé dans Android chez Evina contacté par CyberGuerre, le virus en question est un malware bancaire sophistiqué capable de dérober vos informations dédiées.

De votre identifiant à votre mot de passe en passant par le SMS à double authentification, le virus capte toutes les données nécessaires pour arriver à ses fins. Récolter celles de vos comptes Facebook ou WhatsApp n’est également pas un problème. En cas de téléphone infecté, CyberGuerre recommande de réinitialiser votre smartphone. Le site frauduleux, lui, est toujours actif à l’heure d’écrire ces lignes.

Nouvelle attestation de déplacement sur smartphone, PDF, Word et avec l’app TousAntiCovid

Les derniers articles