Une variante du Trojan bancaire russe Riltok arrive en France

Par:
fredericmazue

mar, 25/06/2019 - 15:51

Les chercheurs de Kaspersky ont découvert que le malware mobile Riltok, utilisé pour dérober de l’argent à ses victimes, vient de lancer une nouvelle variante et se déploie au-delà des frontières russes. Il a notamment atteint l’Europe, prenant l’apparence d’un service populaire en France, en Italie et au Royaume-Uni. Riltok a été observé pour la première fois au milieu du mois d’octobre 2018. Riltok fait partie de la famille des Trojans bancaires, ces menaces sérieuses pour les utilisateurs de smartphones car ils ont été conçus pour accéder aux comptes bancaires des victimes. Pour ce faire, ils volent les identifiants de connexion et piratent les sessions des victimes. Il arrive souvent que les Trojans prennent l’apparence de services Web et applications légitimes pour berner les victimes, qui ne se méfient pas lorsqu’elles partagent des données sensibles.

L’attaque du Trojan Riltok (son nom vient de ‘Real Talk’) commence lorsqu’un utilisateur reçoit un SMS qui contient un lien menant vers un faux site Web de petites annonces gratuites très prisé. L’utilisateur est invité à installer la nouvelle version de l’application, qui est en fait le malware Riltok. Une fois que le malware a été téléchargé et qu’il a reçu les autorisations requises de la part de la victime infectée, il se désigne comme la principale application d’envoi et de réception de SMS. De cette manière, les attaquants reçoivent tous les SMS, y compris les codes de confirmation reçus pour valider des opérations bancaires et ils peuvent également envoyer des SMS pour assurer la propagation de la menace.

Les principales fonctionnalités du malware sont les suivantes :

  • Vol d’identifiants bancaires via une fausse page d’application Google Play Store. Cette page est utilisée pour demander à la victime les codes de sa carte de paiement. Un rapide contrôle est effectué pour vérifier que les codes sont bons.
  • Vol d’identifiants de comptes bancaires en imitant une application bancaire ou en ouvrant une page de phishing via le navigateur.
  • Dissimulation de l’activité et des fonctionnalités d’autres applications, notamment celles qui ont trait à la sécurité et la sûreté du téléphone.
  • Dissimulation des notifications provenant d’applications bancaires légitimes.

Les experts de Kaspersky ont détecté 4 000 victimes, principalement en Russie mais aussi en France, en Italie et au Royaume-Uni.  

« Lentement mais sûrement, le malware Riltok se propage à travers la Russie et nous anticipons une augmentation des attaques maintenant que les criminels derrière cette menace ont commencé à faire des victimes dans d’autres pays, à commencer par l’Europe. Nous avons observé ce scénario de nombreuses fois auparavant. D’après notre expérience, une fois qu’un malware a prouvé son efficacité en Russie, il est adapté pour toucher des victimes à l’étranger et explorer de nouveaux territoires. A terme, les menaces de ce type deviennent mondiales, » – explique Tatyana Shishkova, chercheur chez Kaspersky.

Un billet sur SecureList donne des informations techniques sur le fonctionnement de Riltok.