Des milliers de numéros de téléphone ont été piratés en France. D'après une enquête, des pirates sont parvenus à prendre le contrôle de nombreux numéros virtuels. Avec l'aide d'un malware préinstallé sur certains téléphones, ils peuvent alors contourner la double authentification pour se livrer à des pratiques criminelles. 

D'après les chercheurs en sécurité informatique de Trend Micro, des pirates sont parvenus à prendre le contrôle de certains services d’activation par SMS. Ces numéros jetables, ou numéros virtuels, permettent de s'inscrire à un service en ligne sans devoir fournir son véritable numéro de téléphone.

Ces services garantissent aux internautes qu'ils éviteront des appels publicitaires intempestifs, des appels frauduleux ou des arnaques par SMS par la suite. Il s'agit de numéro à usage unique. Il n'est donc pas possible de louer un numéro de téléphone sur le long terme. Les services proposent notamment de s'inscrire à Facebook, Amazon, Twitter ou encore AirBnB.

Lire aussi : attention, ce malware Android supprime les données de votre smartphone et vide votre compte en banque

Un malware préinstallé sur certains smartphones Android à la sortie de l'usine

Les pirates se sont servis d'un botnet, un réseau de bots connectés à Internet, pour s'emparer de ces numéros de téléphones jetables. “Ce type de service peut être abusé par les cybercriminels pour enregistrer des comptes jetables en vrac ou créer des comptes vérifiés par téléphone à des fins de frauduleuses”, explique Trend Micro dans son rapport.

Avec ces numéros virtuels en leur possession, les pirates peuvent utiliser la double authentification à leur avantage. L'authentification double facteur vise à garantir l'authenticité de l'identité d'un utilisateur grâce à deux informations différentes : un mot de passe accompagné d'un code envoyé par SMS.

Pour recevoir ces codes d'authentification, les pirates utilisent des smartphones Android ayant été infectés par un malware. Ces téléphones vérolés reçoivent des codes d'authentification à l'insu de leur propriétaire. Grâce au virus installé, les hackers récupèrent les informations nécessaires à distance pour se connecter ou s'inscrire à des comptes.

En l'occurrence, les hackers derrière l'attaque ont glissé un logiciel malveillant intitulé Guerilla dans les téléphones Android d'entrée de gamme de plusieurs marques asiatiques, dont Huawei, Oppo, Meizu, HTC et ZTE. Après enquête, les chercheurs affirment qu'il est fort probable que les pirates aient caché le malware dès la phase de production, avant que les smartphones ne sortent de l'usine.

Ce n'est pas la première fois qu'un malware est préinstallé sur des téléphones avant leur sortie sur le marché. En 2020, une enquête a révélé la présence de 2 malwares Android préinstallés sur les smartphones de la marque chinoise Tecno W2. Ces deux malwares s'intitulent Triada et xHelper et sont conçus pour abonner les usagers à des services premium en ligne. Quelques années plus tôt, des développeurs avaient déjà injecté le virus Triada dans le code de plusieurs appareils des marques LEAGOO et Nomu avant leur sortie.

De son côté, le virus Guerilla est capable d'intercepter les SMS envoyés par des services spécifiques. Les messages échangés par le propriétaire du smartphone ne sont pas récoltés. Néanmoins, Trend Micro estime que “la vie privée des usagers est menacée parce que ces services ont accès à des données, des messages et des applications privées”.

Plus de 5000 numéros de téléphone piratés en France

D'après les chercheurs de Trend Micro, des dizaines de milliers de numéros de téléphone jetables ont été piratés dans le cadre de cette opération. En Europe, le pays le plus touché serait la France. Les chercheurs y ont découvert jusqu'à 5500 infections.

Cette campagne de grande ampleur est menée par des services d'activation par SMS frauduleux et des pirates informatiques, estime Trend Micro, preuves à l'appui. Les chercheurs sont parvenus à prouver que certains services de numéros virtuels sont impliqués dans ces opérations. En effet, les coûts de maintenance de certains services sont plus élevés que les revenus obtenus par les utilisateurs déclarés.

Grâce à ces numéros jetables et un malware intercepteur de SMS, les hackers peuvent aisément s'inscrire sur des services en ligne ou des réseaux sociaux sans dévoiler leur véritable identité. L'anonymat est un atout précieux pour un pirate informatique.

“Cela signifie qu'il pourrait y avoir des comptes authentifiés et vérifiés, mais frauduleux sur des plateformes”, déclare Trend Micro. Pour contourner les sécurités mises en place par les services, les hackers utilisent des VPN ou des serveurs proxy. Ces outils permettent de faire croire aux services en ligne qu'ils se trouvent au même endroit que le téléphone qui reçoit le code d'authentification.

Ils peuvent alors propager des fake news à des fins politiques, déployer des arnaques en ligne ou lier ces numéros à des comptes sur un service de paiement, comme PayPal. Avec un accès complet à un compte PayPal, ils réalisent alors des transactions en ligne. Grâce à leur stratagème, les autorités sont incapables de remonter jusqu'à eux.

Source : Trend Micro