Les chercheurs de Kaspersky Lab disent avoir découvert une nouvelle modification du célèbre Trojan, Faketoken, qui vise les applications de transport.
Le marché des applications mobiles augmente et offre des services croissants qui stockent des données bancaires confidentielles, y compris les services de taxi et les applications de covoiturage qui nécessitent les informations de la carte bancaire de l’utilisateur.
L’installation sur des millions d’appareils Android dans le monde a rendu ces applications attrayantes pour les cybercriminels, qui ont considérablement étendu la fonctionnalité des logiciels malveillants sur mobile.
La nouvelle version de Faketoken effectue un suivi en direct des applications et, lorsque l’utilisateur exécute une application spécifiée, la superpose avec sa fenêtre de phishing pour voler les coordonnées bancaire de la victime, a déclaré Kaspersky Lab.
Le Trojan a une interface identique, avec les mêmes arborescences et logos, ce qui crée une superposition instantanée et invisible. Sur la base des résultats de recherche de Kaspersky Lab, les cybercriminels ciblent les services de taxi et de transport les plus populaires avec ce logiciel malveillant, a déclaré le groupe.
En outre, le cheval de Troie déroge à tous les messages SMS entrants en les réorientant vers ses serveurs de commande et de contrôle, permettant aux pirates d’accéder aux vérifications de mots de passe de vérification envoyées par une banque ou à d’autres messages envoyés par les services de taxi et de voyage.
Entre autres choses, cette modification de Faketoken peut également surveiller les appels des utilisateurs, les enregistrer et transmettre les données aux serveurs de commande et de contrôle.
La superposition est une fonction commune activée dans de nombreuses applications mobiles. L’année dernière, Kaspersky Lab a signalé une modification de Faketoken qui attaquait plus de 2 000 applications financières à travers le monde en se faisant passer pour divers programmes et jeux, imitant souvent Adobe Flash Player.
Depuis lors, Faketoken a été davantage développé et a élargi la portée de ses activités.
« Le fait que les cybercriminels ont élargi leurs activités des applications financières à d’autres domaines, y compris les services de taxi et de voyage, signifie que les développeurs de ces services voudront peut-être commencer à accorder plus d’attention à la protection de leurs utilisateurs », a déclaré Viktor Chebyshev, Expert en sécurité chez Kaspersky Lab.
« Le secteur bancaire est déjà familier avec les fraudes et autres techniques employées par les pirates, et sa réponse précédente a impliqué la mise en œuvre de technologies de sécurité dans les applications qui ont considérablement réduit le risque de vol de données financières ».
« Peut-être que maintenant il est temps pour d’autres services qui travaillent avec des données financières de faire de même. La nouvelle version de Faketoken vise principalement des utilisateurs russes. Cependant, la géographie des attaques pourrait facilement être étendue à l’avenir. Nous avons vu cela avec les versions antérieures de Faketoken et d’autres logiciels malveillants bancaires dans le passé. «
Les chercheurs ont également détecté des attaques de Faketoken sur d’autres applications mobiles populaires, telles que les applications de réservation de voyages et d’hôtels, Android Pay et Google Play Market.
