Un trojan bancaire part à l'assaut des smartphones

Une nouvelle variante du cheval de Troie Zeus taillé pour les smartphones a fait son apparition. Sa capacité à contourner les systèmes de double authentification prisés par les banques ou Google a de quoi inquiéter.

Aussi connu que redoutable, le cheval de Troie Zeus était jusque là réputé pour sa grande efficacité dans le vol de données sensibles (bancaires, mots de passe, etc.). Il dispose désormais d'une nouvelle extension ciblant les smartphones, mise en lumière par la société espagnole experte en sécurité S21Sec. Selon elle, après de "nombreuses améliorations dans les fonctionnalités" de ce Trojan, ces "nouveaux ajouts fonctionnels marquent la prochaine cible importante : le monde mobile." 

 
Les banques, partisans de la double authentification via SMS

Aujourd'hui, les SMS sont parfois utilisés pour vérifier une seconde fois l'identité des internautes. Après avoir rentré ses identifiants pour accéder à ses comptes en ligne, l'utilisateur reçoit ensuite par texto un nouveau mot de passe qu'il doit saisir pour accéder au service sur Internet. C'est la technique de la double identification, utilisée par les banques en ligne. Google a récemment annoncé vouloir utiliser ce procédé pour ses diverses Google Apps.

Les iPhones sont épargnés car Apple surveille les téléchargements d'applications.

La nouvelle variante du cheval de Troie Zeus s'attaque à cette seconde identification. Elle suppose cependant que l'attaquant dispose déjà de la première couche d'identification (nom et mot de passe), ce pour quoi Zeus a d'abord été conçu. Dès lors, l ne lui sera pas plus difficile de récolter un numéro de téléphone ou les nouvelles données demandée par le site sécurisé.  

Scénario de l'attaque

Ensuite, le scénario d'attaque prévoit d'infecter un smartphone en lui envoyant un SMS le priant de télécharger l'application malicieuse, contenant la variante du cheval de Troie. Ce dernier est programmé pour renifler le SMS envoyé contenant la seconde identification. Il ne restera plus à l'attaquant que d'accéder aux services, par exemple, pour effectuer un virement sur un compte bancaire en ligne.

Le lien contenu dans le SMS envoyé par le pirate peut pointer vers une application Symbian ou Blackberry. Les iPhones sont épargnés, car Apple surveille les téléchargements d'applications.


L'attaque repose donc sur plusieurs négligences de l'internaute, qui aura téléchargé au moins deux fois le cheval de Troie et sa variante (sur son smartphone et sur son ordinateur). Cela ne remet donc pas en cause la pertinence d'une seconde authentification, toujours utile pour rendre la tâche des pirates plus difficile.

Ces derniers s'intéressent en tout cas de plus en plus aux smartphonse. Cet été, au moins deux chevaux de Troie ont été découverts sur l'OS mobile Open Source de Google, Android.