Vous êtes peut-être déjà au courant que 300 000 utilisateurs d’Android ont téléchargé sans le savoir des applis de chevaux de Troie bancaires à partir de Google Play Kiosque. Ces applis ont contourné les détections de sécurité de la boutique pour installer des logiciels malveillants.
Cette nouvelle provient d’un rapport de sécurité indiquant que des chevaux de Troie se faisaient stratégiquement passer pour des applis en demande (analyseurs de codes QR, applis de culture physique et autres types de logiciels utilitaires populaires). Ces fausses applis contiennent des chevaux de Troie conçus pour voler des informations bancaires, collecter des frappes lorsque vous saisissez des informations de compte et même saisir des captures d’écran de vos activités sur votre téléphone.
Le truc avec ce logiciel malveillant est qu’il ne s’active qu’après son installation, ce qui peut ou non être perceptible pour l’utilisateur. Pour que le logiciel malveillant s’active, une étape supplémentaire est nécessaire, telle qu’une mise à jour intégrée à l’appli (et non par le biais de Play Kiosque), qui télécharge ensuite la charge utile du logiciel malveillant sur le téléphone. Dans de nombreux cas, les fausses applis forcent les utilisateurs à effectuer cette mise à jour une fois téléchargées.
Ainsi, même si les applis dans Play Kiosque ne contenaient pas nécessairement de logiciels malveillants, elles ont transmis après leur achat la charge utile sur le téléphone de l’utilisateur à partir d’autres serveurs. Cela explique pourquoi elles n’ont pas été signalées immédiatement.
Il s’agit simplement d’un des moyens découverts par les pirates pour infecter les téléphones avec des logiciels malveillants.
Il n’est pas étonnant qu’ils ciblent les téléphones intelligents. Ces téléphones regorgent de renseignements personnels et de photos, en plus des informations d’identification pour les applis bancaires et de paiement. Une aubaine pour piller ou exiger une rançon. Ajoutez à cela les fonctionnalités puissantes du téléphone intelligent telles que la caméra, le microphone et le GPS, et une fois compromis, il peut permettre à un pirate de :
- Surveiller votre position actuelle et vos déplacements quotidiens.
- Pirater vos mots de passe de comptes bancaires, de médias sociaux et de magasinage.
- Vider votre portefeuille en cumulant les achats sur l’App Store ou en utilisant des applis de paiement.
- Lire vos textos ou voler vos photos.
Une seule conclusion est possible : vous exclamer « Non merci! »
Alors, comment fonctionnent ces types d’applis malveillantes? En se faisant passer pour des applis légitimes, elles peuvent se retrouver sur votre téléphone et obtenir des autorisations d’accès larges et puissantes à vos fichiers, photos et fonctionnalités, ou introduire un code qui permet aux cybercriminels de collecter des renseignements personnels. Par conséquent, elles peuvent entraîner leur lot de misères, allant d’une épidémie de publicités contextuelles au vol d’identité très coûteux.
Voici quelques exemples récents d’applis malveillantes dans l’actualité :
- Les faux programmes de blocage des publicités qui, ironiquement, introduisent des publicités.
- Les fausses applications de RPV qui facturent un abonnement et n’offrent aucune protection en retour.
- Les applis utilitaires qui détournent les privilèges et les autorisations du système, ce qui expose les utilisateurs à de nouvelles attaques.
Encore une fois : Non, merci! Voyons maintenant comment éviter ce genre d’applis malveillantes.
Sept étapes pour des téléchargements d’applis mobiles plus sûrs
La bonne nouvelle : il existe des moyens de repérer ces fausses applis. Les principales boutiques d’applis comme Google Play et l’App Store d’Apple font leur part pour garder leurs étagères virtuelles exemptes de logiciels malveillants, tel que signalé par Google et Apple eux-mêmes. Toutefois, les cybercriminels peuvent trouver des moyens de contourner ces efforts. (C’est exactement ce qu’ils font, après tout!) Par conséquent, de petites précautions supplémentaires de votre part vous aideront à être mieux protégé. Ces informations peuvent s’avérer utiles :
1) Gardez un œil sur les autorisations d’applis
Les cybercriminels peuvent aussi se faufiler dans votre appareil en obtenant des autorisations pour accéder à votre emplacement, vos contacts, vos photos, etc. Le tout au moyen d’applis frauduleuses. (Considérez les fraudes aux applis de lampe de poche gratuites, qui a duré si longtemps, mentionnées ci-dessus, qui demandaient parfois plus de 70 autorisations différentes, telles que le droit d’enregistrer de l’audio, de la vidéo et d’accéder aux contacts.) Faites donc très attention aux autorisations demandées par l’appli lorsque vous l’installez. Si l’appli demande bien plus que ce que vous aviez prévu, p. ex. si un simple jeu nécessite l’accès à votre caméra ou à votre microphone, il peut s’agir d’une arnaque. Supprimez l’appli et trouvez-en une légitime qui ne demande pas d’autorisations indiscrètes comme celles-là.
De plus, vous pouvez vérifier les autorisations qu’une appli peut demander avant de la télécharger. Dans Google Play, faites défiler la liste des applis et recherchez « À propos de cette appli ». Cliquez ensuite sur « Autorisations d’application », pour obtenir une liste informative. Dans l’App Store iOS, faites défiler jusqu’à « Protection de confidentialité » et appuyez sur « Voir les détails ». Si vous voulez connaître les autorisations pour les applis déjà présentes sur votre téléphone, les utilisateurs d’iPhone peuvent apprendre comment autoriser ou révoquer les autorisations d’appli ici, et les utilisateurs d’Android peuvent faire la même chose ici.
2) Méfiez-vous des applis qui vous invitent à effectuer une mise à jour intégrée
Même si certaines applis légitimes (comme les jeux) dépendent de contenus téléchargeables à partir d’une appli, portez attention aux demandes de mise à jour immédiates à effectuer directement depuis une appli. Dans la plupart des cas, l’appli que vous téléchargez depuis la boutique devrait être la version la plus récente et ne devrait pas nécessiter de mise à jour. De même, mettez à jour votre téléphone par le biais de l’App Store, et non de l’application elle-même, ce qui peut vous aider à éviter des attaques impliquant des logiciels malveillants de ce type.
3) Lisez les avis d’un œil critique
Comme avec tant d’attaques, les cybercriminels comptent sur le fait que des personnes cliquent sur des liens ou appuient sur « télécharger » sans y penser à deux fois. Avant de procéder au téléchargement, prenez le temps de faire une recherche rapide, pour vérifier si l’appli est malveillante. Vérifiez qui sont les développeurs : ont-ils publié plusieurs autres applis avec de nombreux téléchargements et de bonnes critiques? Une appli légitime suscite généralement pas mal de critiques, alors que les applis malveillantes peuvent n’avoir qu’une poignée de (fausses) critiques cinq étoiles. Enfin, recherchez les fautes de frappe et les erreurs de grammaire dans la description de l’appli et les captures d’écran. Elles pourraient être le signe qu’un pirate a bâclé l’appli et l’a déployée trop rapidement.
4) Fiez-vous à une forte recommandation
Encore mieux que de parcourir vous-même les avis des utilisateurs : obtenez une recommandation d’une source approuvée, comme une publication bien connue ou des éditeurs de l’App Store. Dans ce cas, une grande partie du travail de vérification a été effectuée pour vous par un examinateur établi. Une recherche en ligne rapide au moyen de mots-clés comme « meilleures applis de culture physique » ou « meilleures applis pour les voyageurs » devrait lister des articles provenant de sites légitimes qui suggèrent de bonnes options et les décrivent en détail avant que vous n’en téléchargiez une.
5) Évitez les boutiques d’applications tierces
Contrairement à Google Play et à l’App Store d’Apple, qui ont mis en place des mesures pour examiner et contrôler les applis afin de s’assurer qu’elles sont sûres et sécurisées, les sites tiers peuvent ne pas avoir ce processus en place. En fait, certains sites tiers peuvent héberger intentionnellement des applis malveillantes dans le cadre d’une arnaque plus large. Certes, les cybercriminels ont trouvé des moyens de contourner le processus d’examen de Google et d’Apple, mais les chances d’y télécharger une appli sécurisée sont bien plus grandes que partout ailleurs. De plus, Google et Apple suppriment rapidement les applis malveillantes une fois découvertes, ce qui rend leur boutique encore plus sûre.
6) Protégez votre téléphone intelligent au moyen d’un logiciel de sécurité
Considérant tout ce que nous faisons sur nos téléphones, il est important d’y installer un logiciel de sécurité, tout comme nous le faisons sur nos ordinateurs et ordinateurs portables. Que vous optiez pour un logiciel de sécurité complet qui protège tous vos appareils ou pour une application dans Google Play ou dans l’App Store iOS d’Apple, vous obtiendrez une protection contre les logiciels malveillants et les menaces Web et une sécurité de l’appareil pour vous protéger.
7) Mettez à jour le système d’exploitation de votre téléphone
L’installation d’un logiciel de sécurité va de pair avec le maintien à jour du système d’exploitation de votre téléphone. Les mises à jour peuvent corriger les vulnérabilités qui permettent aux cybercriminels d’orchestrer des attaques à l’aide de logiciels malveillants. Il s’agit d’une autre méthode éprouvée pour assurer votre sécurité et le bon fonctionnement de votre téléphone.
Restez vigilant face aux logiciels malveillants mobiles
Voici quelques mesures pour vous protéger :
- Gardez un œil sur votre téléphone. Les logiciels malveillants mobiles peuvent parfois laisser des indices de leur présence sur votre téléphone, p. ex. quand il chauffe ou fonctionne mal.
- Gardez un œil sur vos comptes. Tout type d’arnaques ou de vols d’identité laissera probablement une trace dans vos relevés ou dans vos applis de paiement et d’opérations bancaires. Si vous y repérez quelque chose de louche, faites un suivi et signalez-le.
- Considérez ces mesures comme renforçant votre sécurité globale. Cela peut révéler des transactions liées à un vol d’identité dont vous n’étiez pas du tout au courant, comme une personne louant un appartement sous votre nom.
Enfin, vous pouvez toujours vous demander : « Ai-je vraiment besoin de cette appli? ». Une façon d’éviter les applis mobiles malveillantes consiste à télécharger moins d’applis en général. Si vous ne savez pas si ce jeu gratuit est légitime ou si l’offre pour cette appli de productivité semble un peu trop belle, ignorez-les. Cherchez une meilleure option ou abandonnez l’idée complètement. Tel qu’indiqué précédemment, les cybercriminels espèrent vraiment que nous cliquerons et téléchargerons sans réfléchir. Rester sur vos gardes contre les logiciels malveillants mobiles ne vous prendra que quelques instants. Il s’agit d’un coût minime par rapport aux coûts potentiels d’un téléphone piraté.
Restez à jour
Suivez-nous pour rester à jour sur tout ce qui concerne McAfee et pour être au courant des dernières menaces de sécurité pour les consommateurs et les mobiles.
