Cheval de Troie parlant : attention aux faux appels

Un cheval de Troie qui se fait passer pour une application bancaire et imite les conversations téléphoniques avec les employés de la banque.

Cheval de Troie parlant : attention aux faux appels

Les cybercriminels ne sont jamais à court de logiciels malveillants. Pire, ils deviennent de plus en plus sophistiqués ! L’année dernière, par exemple, a vu l’apparition d’un cheval de Troie bancaire inhabituel appelé Fakecalls. Outre les classiques dispositifs d’espionnage, il dispose également d’une capacité intéressante : celle de  » discuter  » avec sa victime en se faisant passer pour un employé de banque. Les informations sur Fakecalls disponibles en ligne sont encore peu nombreuses, aussi avons-nous décidé de faire la lumière sur ses capacités.

Un cheval de Troie sous couverture

Fakecalls se dissimule sous les traites de certaines des applications mobiles de banques coréennes les plus populaires, parmi lesquelles KB (Kookmin Bank) et KakaoBank. Curieusement, en plus des logos habituels, les créateurs du cheval de Troie affichent les numéros d’assistance des banques respectives sur l’écran Fakecalls. Ces numéros de téléphone semblent réels. Le numéro 1599-3333, par exemple, se trouve sur la page principale du site officiel de KakaoBank.

Le cheval de Troie imite les applications bancaires KB (à gauche) et KakaoBank (à droite)

Le cheval de Troie imite les applications bancaires KB (à gauche) et KakaoBank (à droite)

Une fois installé, le cheval de Troie demande immédiatement toute une série d’autorisations, notamment l’accès aux contacts, au microphone et à la caméra, la géolocalisation, la gestion des appels, etc.

L’appel à la banque

Contrairement à d’autres chevaux de Troie bancaires, Fakecalls peut imiter des conversations téléphoniques avec le service clientèle. Si la victime appelle la hotline de la banque, le cheval de Troie rompt discrètement la connexion et ouvre son propre faux écran d’appel au lieu de l’application d’appel habituelle. L’appel semble normal, mais en réalité les hackers ont pris le contrôle de la ligne.

La seule chose qui pourrait trahir le cheval de Troie à ce stade est le faux écran d’appel. Fakecalls ne dispose que d’un seul langage d’interface : le coréen. Cela signifie que si une autre langue est sélectionnée au téléphone, le français, par exemple, ou l’anglais, la victime se rendra compte probablement de l’arnaque.

L'écran standard de l'application d'appel (à gauche) et l'écran de Fakecalls (à droite)

L’écran standard de l’application d’appel (à gauche) et l’écran de Fakecalls (à droite)

Après l’interception de l’appel, deux scénarios sont possibles. Dans le premier cas, Fakecalls met la victime en contact direct avec les cybercriminels, puisque l’application a la permission de passer des appels sortants. Dans le second, le cheval de Troie diffuse un son préenregistré imitant le message d’accueil habituel de la banque.

Fragment de code Fakecalls qui joue un son préenregistré pendant un appel sortant

Fragment de code Fakecalls qui joue un son préenregistré pendant un appel sortant

Pour que le cheval de Troie entretienne un dialogue réaliste avec la victime, les cybercriminels ont enregistré plusieurs phrases (en coréen) généralement prononcées par des employés de boîtes vocales ou de centres d’appels. Par exemple, la victime pourrait entendre quelque chose comme ceci :  » Bonjour. Merci d’avoir appelé KakaoBank. Notre centre d’appels reçoit actuellement un volume d’appels anormalement élevé. Un consultant reviendra vers vous dès que possible. <…> Pour améliorer la qualité de notre service, votre conversation sera enregistrée.  » Ou encore :  » Bienvenue à la banque Kookmin. Votre conversation sera enregistrée. Nous allons vous mettre en contact avec un opérateur.  »

Ensuite, les attaquants, se faisant toujours passer pour un employé de la banque, peuvent essayer de soutirer des informations de paiement ou d’autres données confidentielles à la victime.

En plus des appels sortants, Fakecalls peut également falsifier les appels entrants. Lorsque les cybercriminels veulent contacter la victime, le cheval de Troie affiche son propre écran par-dessus celui du système. Par conséquent, l’utilisateur ne voit pas le véritable numéro utilisé par les cybercriminels, mais celui affiché par le cheval de Troie, comme par exemple le numéro de téléphone du service d’assistance de la banque.

Les capacités des logiciels espions

En plus d’imiter l’assistance téléphonique, Fakecalls présente d’autres caractéristiques typiques des chevaux de Troie bancaires. Par exemple, sur ordre des hackers, le logiciel malveillant peut activer le microphone du téléphone de la victime et envoyer des enregistrements de celui-ci à leur serveur, ainsi que diffuser secrètement de l’audio et de la vidéo du téléphone en temps réel.

Et ce n’est pas tout. Vous vous souvenez des autorisations demandées par le cheval de Troie lors de l’installation ? Les cybercriminels peuvent les utiliser pour déterminer la localisation de l’appareil, copier la liste des contacts ou les fichiers (y compris les photos et les vidéos) du téléphone sur leur serveur, et accéder à l’historique des appels et des messages.

Ces autorisations permettent au logiciel malveillant non seulement d’espionner l’utilisateur, mais aussi de contrôler son appareil dans une certaine mesure, ce qui donne au cheval de Troie la possibilité de supprimer les appels entrants et de les effacer de l’historique. Cela permet aux escrocs, entre autres, de bloquer et de cacher les appels réels des banques.

Les outils de Kaspersky détectent ce malware avec le diagnostic Trojan-Banker.AndroidOS.Fakecalls, et protègent l’appareil.

Comment se protéger ?

Pour éviter que vos données personnelles et votre argent ne tombent entre les mains de cybercriminels, quelques conseils simples :

  • Ne téléchargez les applications que depuis les boutiques officielles et n’autorisez pas les installations provenant de sources inconnues. Les boutiques officielles vérifient tous les programmes et même si des logiciels malveillants s’y glissent, ils sont généralement rapidement supprimés.
  • Faites attention aux permissions que les applications demandent et si elles en ont vraiment besoin. N’ayez pas peur de refuser des autorisations, en particulier celles qui sont potentiellement dangereuses comme l’accès aux appels, aux SMS, à l’accessibilité, etc.
  • Ne donnez jamais d’informations confidentielles par téléphone. Les véritables employés de banque ne vous demanderont jamais vos identifiants de connexion à la banque en ligne, votre code PIN, le code de sécurité de votre carte ou les codes de confirmation par SMS. En cas de doute, consultez le site web officiel de la banque et découvrez ce que les employés peuvent et ne peuvent pas demander.
  • Installez une solution efficace qui protège tous vos appareils contre les chevaux de Troie bancaires et autres logiciels malveillants.
Conseils