Des chercheurs ont récemment découvert une application Android malveillante qui transforme les appareils en relais SMS utilisés pour vérifier divers comptes sur Internet.
Au moment de la publication, l’application compte plus de 100 000 téléchargements sur le Google Play Store et peut toujours être téléchargée.
Souvent, lorsque les gens créent des comptes en ligne, ils doivent vérifier leur identité via leurs téléphones portables et confirmer qu’ils ne sont pas des bots ou des utilisateurs qui spamment la création de compte. Les utilisateurs partagent leurs numéros de téléphone et reçoivent un mot de passe à usage unique (OTP) qui vérifie leur identité.
Fausses applications SMS
Pour ceux qui cherchent à rester pseudonymes en ligne, pouvoir créer des comptes en ligne sans avoir à partager leurs numéros de téléphone semble attrayant, mais les méthodes disponibles mettent souvent en danger des personnes innocentes.
Le chercheur Maxime Ingrao, de la société d’assistance en cybersécurité Evina, a récemment découvert Symoo, une application qui se présente comme une « application SMS simple ». Au lieu de cela, tout ce qu’il fait est de relayer les codes OTP basés sur SMS aux utilisateurs anonymes, qui peuvent inclure des acteurs de la menace, pour la création de compte ailleurs.
Lorsque les utilisateurs installent l’application, elle demande des autorisations SMS (ce qui ne devrait pas déclencher d’alarmes, étant donné qu’elle est décrite comme une application SMS). Il demande ensuite le numéro de téléphone de l’utilisateur, et s’il le fournit, il affichera un faux écran de chargement affichant une barre de progression.
En arrière-plan, il invitera les opérateurs distants à envoyer plusieurs messages SMS d’authentification à deux facteurs, les aidant à créer des comptes sur différents services en ligne. Une fois cette étape terminée, l’application se fige et semble non fonctionnelle.
En réalité, Ingrao a découvert que Symoo partage les données SMS exfiltrées avec une autre application, appelée Virtual Number, qui n’est plus disponible sur le Play Store.
Cependant, le développeur a une application similaire disponible, appelée « Activation PW – Numéros virtuels », offrant des numéros de téléphone authentiques pour aider quiconque à créer des comptes. Pour 0,50 $, les utilisateurs peuvent saisir un numéro de téléphone et l’utiliser pour vérifier un compte via SMS. Cette application compte plus de 10 000 téléchargements.
Bien qu’il n’y ait rien de mal en soi avec un service de numéro virtuel, même Google en propose un sous la forme de Google Voice (s’ouvre dans un nouvel onglet)il est conseillé aux utilisateurs de désinstaller cette application particulière dès que possible, de peur qu’ils ne soient victimes de fraude.
Passant par BipOrdinateur (s’ouvre dans un nouvel onglet).