Un malware Android vise la double authentification des apps bancaires

 
Surnommé «Teabot» par les chercheurs en sécurité de chez Cleafy, le malware est capable de lire vos sms pour permettre aux cybercriminels de se connecter à votre banque.

On connaissait Flubot sur lequel alertait le Centre national de cybersécurité du Royaume-Uni (NCSC) en avril dernier. Les personnes visées par ce malware recevaient un SMS frauduleux prétendant provenir d’un service de livraison type DHL ou Amazon. Le message invitait les victimes à cliquer sur un lien pour installer une application de suivi de leur colis. Mais il s’agissait en fait d’un piège. Une fois l’app installée, celle-ci aspirait vos données personnelles et accédait notamment à vos informations bancaires.

Cette fois-ci, ce sont les chercheurs de Cleafy qui annoncent avoir découvert un nouveau malware bancaire dès janvier. Son nom ? Teabot. Une fois installé sur l’appareil de la victime, les cybercriminels peuvent accéder en direct à ce qu’il s’affiche sur votre écran. Par une sorte de SIM swapping, le malware détourne les informations d’identification des utilisateurs ainsi que leurs sms dans le but de faciliter les activités frauduleuses contre des banques qui utilisent encore la double authentification à usage unique. Dans le pire des cas votre compte en banque peut être contrôlé et vidé à votre insu.

Le malware est traduit en six langues, dont le français

À l’origine Teabot se faisait passer pour une application IPTV du nom de TeaTV. Depuis, le malware sévit dans plusieurs autres fausses applications comme VLC MediaPlayer, DHL, ou encore UPS.

« Lorsque l’application est téléchargée sur un appareil, elle tente de s’installer comme un ‘service Android’, un service système qui lui permet de réaliser des opérations longues en tâche de fond. Teabot utilise ensuite cette fonctionnalité de manière abusive pour se cacher, lui permettant, une fois installé, de ne pas être démasqué, et d’assurer ainsi sa persistance ».

Lors de l’installation le malware demande plusieurs autorisations Android pour observer les actions de la victime, récupérer ses données, et effectuer des gestes arbitraires à distance. Une fois les autorisations accordées, l’application supprime son icône de l’appareil. Le malware prend actuellement en charge six langues différentes : l’espagnol, l’anglais, l’italien, l’allemand, le français et le néerlandais.

Pour rappel, l’installation d’application Android depuis un site web doit se faire si et seulement si vous avez une pleine confiance en la source. Si vous avez le moindre doute, préférez les magasins d’applications plus classiques comme le Play Store.

Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !


Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !