Attention ! Une nouvelle technique de phishing cible les utilisateurs de services bancaires mobiles avec des applications Web sophistiquées
Une nouvelle technique de phishing inquiétante a fait son apparition, représentant une menace sérieuse pour les utilisateurs de services bancaires mobiles sur les plateformes iOS et Android. Selon un avertissement récent du fournisseur de solutions anti-malware ESET, les cybercriminels exploitent les applications Web progressives (PWA) et les WebAPK pour contourner les mesures de sécurité et voler des informations bancaires sensibles.
Table des matières
Comment fonctionne l'attaque
Cette nouvelle campagne de phishing exploite la flexibilité des PWA, des applications Web conçues pour ressembler et fonctionner comme des applications natives. Les PWA ne nécessitent pas que les utilisateurs autorisent l'installation d'applications tierces, ce qui les rend moins suspectes. Les cybercriminels demandent aux utilisateurs iOS d'ajouter ces PWA à leur écran d'accueil, tandis que les utilisateurs Android sont invités à confirmer les fenêtres contextuelles personnalisées qui s'affichent dans leur navigateur, ce qui conduit à l'installation de ces applications trompeuses.
Pour les utilisateurs d'Android, la menace s'intensifie avec l'utilisation de WebAPK. Il s'agit essentiellement de PWA mises à niveau qui imitent l'apparence et le comportement d'applications légitimes, faisant souvent croire aux utilisateurs qu'ils les ont téléchargées depuis Google Play. Les recherches d'ESET soulignent que ces WebAPK ne déclenchent pas les avertissements de sécurité habituels, même si l'utilisateur n'a pas autorisé l'installation d'applications provenant de sources inconnues. Une fois installées, ces applications malveillantes se fondent parfaitement dans l'appareil de l'utilisateur, affichant des icônes et des informations suggérant qu'il s'agit d'applications bancaires officielles.
Méthodes de distribution
La diffusion de ces applications de phishing s'effectue par le biais d'une combinaison d'appels vocaux automatisés, de publicités malveillantes sur les réseaux sociaux et de messages SMS. Les utilisateurs sont incités à cliquer sur des liens qui les dirigent vers de faux sites Web ressemblant à des boutiques d'applications officielles ou au site Web de la banque ciblée. Ils sont ensuite invités à installer ce qui semble être une mise à jour de leur application bancaire mobile.
Lors de leur installation, ces applications demandent à l'utilisateur ses identifiants de connexion sous couvert d'accéder à son compte bancaire. À l'insu de l'utilisateur, ces informations sensibles sont immédiatement envoyées aux serveurs de commande et de contrôle (C&C) des attaquants.
Le paysage des menaces
L'enquête d'ESET indique que cette campagne de phishing a probablement débuté en novembre 2023, les serveurs C&C étant devenus actifs en mars 2024. Si l'objectif principal était de cibler les utilisateurs de services bancaires mobiles en République tchèque, les attaques ont également ciblé des individus en Hongrie et en Géorgie. ESET a identifié deux acteurs de la menace distincts derrière ces attaques, chacun utilisant des techniques similaires pour compromettre les utilisateurs.
De plus, on craint de plus en plus que ces pirates n'élargissent leur arsenal en développant davantage d'applications imitatrices. La sophistication de ces PWA et WebAPK les rend particulièrement dangereuses, car elles peuvent être quasiment impossibles à distinguer des applications bancaires légitimes.
Se protéger de la menace
Avec l'essor de ces techniques de phishing avancées, il est plus important que jamais pour les utilisateurs de rester vigilants. Voici quelques mesures que vous pouvez prendre pour vous protéger :
- Soyez prudent lors de l'installation d'applications : évitez d'installer des applications qui ne proviennent pas directement des boutiques d'applications officielles. Si vous êtes invité à installer une application ou une mise à jour via un lien, vérifiez d'abord sa légitimité.
- Méfiez-vous des demandes inhabituelles : Méfiez-vous de toute application demandant des informations sensibles, telles que des identifiants de connexion ou des coordonnées bancaires, surtout si elle prétend être une mise à jour.
- Restez informé : restez au courant des dernières actualités en matière de sécurité et assurez-vous que le logiciel de sécurité de votre appareil est mis à jour pour détecter et bloquer ces types de menaces.
Cette nouvelle technique de phishing met en évidence l'évolution des tactiques des cybercriminels et la nécessité d'une plus grande vigilance de la part des utilisateurs. Alors que la frontière entre les applications légitimes et frauduleuses s'estompe, rester informé et prudent est votre meilleure défense.