Des chercheurs d'ESET ont découvert un nouveau malware bancaire caché dans une application d'optimisation de la batterie baptisée Optimization Android. Ce dernier détourne les services d'accessibilité du smartphone pour envoyer de l'argent sur le compte PayPal de l'attaquant dès que l'utilisateur ouvre l'application PayPal et s'identifie. Une fois le processus lancé, il est impossible pour l'utilisateur d'annuler le transfert. Il a également d'autres fonctionnalités, notamment le phishing de numéros de carte bancaire, l'interception de SMS et la collecte de données.

Les chercheurs d'ESET ont découvert un nouveau malware très dangereux. Sa principale fonctionnalité ? Détecter l'ouverture et le login dans l'application PayPal, puis envoyer 1000 euros sur le compte de hackers. Mais il a aussi d'autres talents. Il peut télécharger des faux écrans de paiement correspondant à Google Play, WhatsApp, Skype, Viber et Gmail pour inciter l'utilisateur à donner son numéro de carte bleue. Le tout en détournant les options d'accessibilité des smartphones Android. Les chercheurs d'ESET expliquent avoir découvert le malware dans une application, Optimization Android présentée comme un outil d'optimisation de la batterie distribué dans des stores tiers. Ils avertissent que ce malware peut se cacher dans d'autres fausses applications.

Caché dans une application, ce malware tente de transférer 1000 euros depuis PayPal à des pirates

Lors de son premier lancement, l'application affiche un banal message d'autorisation, puis paraît planter. L'icône de l'application disparaît alors du launcher. A partir de là, il reste dormant et va réagir à deux types de déclencheurs. Le premier, c'est PayPal. Si l'application PayPal est installée sur l'appareil, le malware affiche une notification invitant l'utilisateur à la lancer. Une fois que l'utilisateur ouvre PayPal et se loggue, le service d'accessibilité détourné par le malware imite des actions manuelles de l'utilisateurs pour tenter de transférer 1000 euros sur le compte des pirates. L'opération prend moins de 5 secondes, et les chercheurs expliquent qu'à partir du moment où l'utilisateur est identifié, il est pratiquement impossible d'empêcher le transfert.

Lire aussi : Les maisons connectées infestées de malwares dès 2019

Sauf si vous ne disposez pas des fonds nécessaires sur votre compte, auquel cas l'opération sera simplement annulée. Le seul recours pour l'utilisateur est de s'en rendre compte à temps pour ouvrir un litige et demander le remboursement de la somme. Ce qui est plutôt intéressant avec ce type d'attaque, c'est qu'elle fait fi de l'authentification double facteurs, et montre donc là une de ses plus importantes faiblesses sur smartphone. Pour vous en convaincre, la vidéo en fin d'article montre le déroulé complet de l'attaque. La seconde chose que fait ce malware, c'est de tenter de voler vos numéros de carte bancaire par d'autres moyens.

En plus de s'attaquer à votre compte PayPal, le malware cache les transactions dans Gmail et tente de voler vos numéros de carte bleue

Pour cela, le malware tente des attaques phishing en téléchargeant les écrans de paiement d'applications courantes comme Google Play, WhatsApp, Viber et Skype. Ecrans que les cybercriminels peuvent mettre à jour à distance pour plus de réalisme. Enfin ce malware plutôt sophistiqué tente également de voler les identifiants Gmail de l'utilisateur, vraisemblablement pour cacher à l'utilisateur les transactions frauduleuses de PayPal et éviter que celui-ci n'ouvre de litige à temps. Il peut également intercepter les SMS, collecter des données personnelles dont les contacts de l'utilisateurs, et installer d'autres applications.

Les chercheurs de l'ESET recommandent de vérifier régulièrement vos transactions sur votre compte PayPal et auprès de votre banque. Il est possible de désinstaller l'application en mode sans échec. L'alternative, plus sûre, est de complètement réinitialiser votre smartphone. Compte-tenu de son origine, il est également recommandé d'éviter d'installer des applications hors du Play Store… bien qu'il arrive aussi de temps en temps que des malware y passent outre la surveillance de Google.