Comment éviter que les comptes bancaires ne soient compromis par cette menace?
Un malware ATS (Automatic Transfer System) est un logiciel malveillant qui cible les applications de banque en ligne sur Android. Il est conçu pour automatiser les virements bancaires à l'insu de la victime, permettant ainsi aux cybercriminels de transférer de l'argent sans que l'utilisateur ne s'en aperçoive.
Qu’est-ce qui rend ce type de malware particulièrement efficace ?
Mode de distribution : Autrefois, les cybercriminels devaient convaincre leurs victimes d'installer une application malveillante en dehors du magasin d'applications officiel, une démarche souvent compliquée. Les malwares ATS, cependant, parviennent à se diffuser via le magasin d'applications officiel en ne contenant aucune charge utile malveillante au moment de leur publication. Cette charge utile est téléchargée lors d'une mise à jour ultérieure.
Contournement de l'authentification forte : Les opérations à risque sous soumises à des authentifications fortes. Les malwares ATS contournent cette sécurité de plusieurs manières :
- Interception de SMS et de codes 2FA : Ils interceptent les codes d'authentification des SMS et des applications et les utilisent pour valider les opérations.
- Mode opportuniste : Le malware attend qu'une demande d'ajout de bénéficiaire soit initiée par l'utilisateur, puis substitue l'IBAN de la mule à celui du bénéficiaire légitime. L'utilisateur, croyant confirmer sa propre demande, valide l'ajout.
- Fatigue de l’authentification multifacteur (‘MFA fatigue’) : En envoyant de multiples demandes d'authentification, le malware épuise la victime jusqu'à ce qu'elle finisse par approuver une demande par lassitude ou en pensant à un bug.
Quel est son mode opératoire ?
- Téléchargement de la charge utile : L'application, sous prétexte d'une mise à jour, télécharge la charge utile malveillante.
- Demande d'accès au service d'accessibilité : L'application demande les droits d'accès au service d'accessibilité. Ce service, légitime dans des contextes tels que l'utilisation d'une loupe ou l'interaction vocale, est détourné par le malware pour interagir avec l'application bancaire de la victime.
- Collecte des identifiants : Lorsque l'utilisateur ouvre son application bancaire, le malware crée une fenêtre ressemblant à l'écran de connexion légitime pour récupérer les identifiants et mots de passe.
- Contrôle à distance : Certains malwares disposent de fonctionnalités de type RAT (Remote Access Tool), permettant aux cybercriminels de prendre le contrôle du téléphone à distance. Pendant ce temps, un écran noir ou de chargement est affiché pour dissimuler les actions malveillantes.
Comment limiter le risque en tant que particulier ?
- Télécharger des applications de sources fiables : Si vous souhaitez télécharger une application dont l’usage est bien établi comme par exemple un lecteur de pdf, ou de lecture de documents Microsoft, préférez les applications présentes depuis longtemps sur les magasins d'applications. En effet, les applications malveillantes ont généralement une durée de vie courte sur le magasin officiel.
- Être vigilant aux permissions demandées : Méfiez-vous des applications demandant des accès excessifs, notamment aux services d'accessibilité. Si l’on souhaite avoir une approche conservatrice, mieux vaut se rendre compte qu’une application légitime ne fonctionne pas comme attendu et ajuster les droits si nécessaire.
- Utiliser des solutions de sécurité mobile : Installez un logiciel antimalware pour détecter et bloquer les applications malveillantes
Et les banques, comment peuvent-elles limiter le risque ?
Les banques disposent de moyens de lutte contre la fraude qui peuvent être renforcées pour être en mesure de réduire le risque de ce type de menace.
Dans ce contexte, l’analyse des données liées aux interactions de l’utilisateur sur l’application permettra de limiter le risque car les interactions réalisées par un malware diffèrent de celles d'un utilisateur légitime. Notre solution LexisNexis®BehavioSec® utilise la puissance de l’analyse comportementale gestuelle pour analyser ce type de données et révéler la présence de tels logiciels malveillants.