Alors que la pandémie de COVID-19 touche le monde entier, les gouvernements déploient des outils de traçage pour suivre les infections. Malheureusement, les cybercriminels profitent de la peur ambiante pour distribuer des malwares via de fausses applications de suivi des contacts.
Découvrez comment ces pirates informatiques exploitent la panique liée au coronavirus pour infecter les smartphones des utilisateurs.
Face à l'impact mondial du coronavirus, il est essentiel de comprendre sa propagation au sein des communautés. Le COVID-19 pouvant rester asymptomatique, les porteurs involontaires risquent de le transmettre sans le savoir. Informer rapidement les personnes potentiellement exposées est donc crucial pour limiter la chaîne de transmission.
Pour cela, de nombreux gouvernements investissent dans des applications de traçage des contacts, comme l'application NHS COVID-19 au Royaume-Uni. Ces outils utilisent la connectivité internet pour alerter en temps réel et prévenir de nouvelles contaminations. Dès qu'un cas positif est détecté, les contacts récents sont notifiés instantanément, favorisant l'auto-isolement.
Le fonctionnement repose sur le Bluetooth : l'application émet un signal discret et détecte ceux des appareils voisins. Chaque rencontre est enregistrée anonymement. Si un utilisateur est diagnostiqué positif, l'application avertit les contacts enregistrés d'un risque potentiel.
Le concept est solide : une adoption massive permettrait d'isoler efficacement les cas contacts et de freiner la pandémie. Cependant, la mise en œuvre technique est complexe.
Ces apps doivent enregistrer fidèlement les proximité, notifier sélectivement et obtenir un taux d'adoption élevé pour être efficaces. Les gouvernements travaillent activement à leur développement et déploiement, ce qui suscite l'anxiété chez les utilisateurs impatients. Cette fenêtre d'opportunité est exploitée par les escrocs via des faux apps.
Cette attaque se déploie en deux phases : tromper les victimes pour qu'elles téléchargent l'app malveillante, puis déployer la charge utile.
Le cybercriminel cible un pays développant ou ayant lancé une app officielle, où la demande est forte. Il crée un site web frauduleux imitant un portail gouvernemental, en copiant logos et design pour plus de crédibilité.
Évitant les stores officiels comme Google Play – malgré des incidents passés comme des cryptojackers – il héberge l'app sur son propre serveur pour esquiver les modérations.
Le domaine est choisi pour ressembler à l'officiel (typosquatting ou similitudes visuelles), dupant les utilisateurs peu vigilants.
La malveillance peut être furtive ou agressive. Dans le premier cas, l'app mime une vraie app de traçage tout en exfiltrant des données. Anomali Threat Research a détecté des faux traceurs COVID-19 embarquant des trojans bancaires comme Anubis, les plus redoutés sur mobile.
Développer une telle app demande du travail : recopiage d'interfaces légitimes avec malwares intégrés. Une fois installée, elle opère en silence, vole des données, et peut se propager via le partage social.
Option agressive : ransomwares visibles. ESET a identifié CryCryptor au Canada, post-annonce officielle d'une app gouvernementale. Ce malware verrouille les fichiers et exige une rançon.
Moins sophistiqué, ce type est rapide à déployer pour un gain immédiat.
Surveillez les annonces officielles de votre gouvernement via des sources fiables. Téléchargez uniquement depuis les stores officiels ou sites gouvernementaux.
Vérifiez les avis, notes et développeur sur Google Play. Scrutez les permissions demandées : méfiez-vous des accès excessifs ou inhabituels, typiques des malwares mobiles.
En cas d'infection par CryCryptor, ESET propose un outil de décryptage gratuit.
La panique mondiale autour du COVID-19 attire les prédateurs numériques. Fiez-vous aux canaux officiels pour toute info sur les apps de traçage et consultez des sites de confiance pour les actualités coronavirus.
[]