Alors que la pandémie de COVID-19 se propage dans le monde entier, les gouvernements s'unissent pour suivre le taux d'infection. Malheureusement, les pirates souhaitent exploiter la peur et la confusion pour propager des logiciels malveillants via de fausses applications de suivi des contacts.
Voyons comment un pirate informatique peut utiliser la panique du coronavirus pour diffuser des logiciels malveillants sur les téléphones des gens.
Le coronavirus ayant un impact énorme à travers le monde, il est important de savoir comment le virus se propage parmi les communautés. En raison de la capacité du COVID-19 à rester discret, les gens peuvent le propager sans s'en rendre compte. En tant que tel, il est crucial d'informer les victimes potentielles qu'elles peuvent être infectées avant qu'elles ne la propagent davantage.
Pour y parvenir, les gouvernements du monde entier investissent dans une application de recherche de contacts (comme l'application NHS COVID-19 du Royaume-Uni). Cette application exploite Internet pour fournir des rapports ultra-rapides afin de prévenir de nouvelles infections. Dès qu'un risque d'infection devient apparent, toutes les personnes concernées peuvent être averties instantanément, réduisant ainsi la propagation.
Une application de recherche de contacts y parvient en gardant un œil sur qui vous étiez proche. Pour ce faire, il envoie un petit signal Bluetooth et écoute les signaux provenant d'autres téléphones. Une fois que votre téléphone trouve quelqu'un d'autre, les deux téléphones enregistrent que vous étiez proches l'un de l'autre.
Ensuite, si quelqu'un tombe avec le COVID-19, son application en est informée. L'application parcourt la liste des téléphones dont elle s'est approchée et les avertit d'une éventuelle infection au COVID-19. Les destinataires de ce message peuvent alors s'auto-isoler pour arrêter la propagation.
La théorie derrière les applications de recherche de contacts est solide; S'ils sont correctement mis en œuvre, ils peuvent aider les gens à s'isoler et à prévenir de nouvelles infections.
Malheureusement, la mise en œuvre de l'application est la partie délicate. L'application doit enregistrer tous les téléphones dont elle se rapproche, puis les avertit tous lorsqu'un diagnostic positif se produit. De plus, de nombreuses personnes doivent télécharger l'application pour qu'elle soit efficace.
En tant que tel, les pays du monde entier travaillent dur pour développer, tester et déployer cette application. Cela crée beaucoup d'anxiété parmi les personnes qui souhaitent télécharger l'application pour rester en sécurité. Ce retard ouvre alors la porte aux escrocs, qui peuvent créer de fausses applications pour exploiter la peur des autres.
La fausse attaque de l'application de suivi des contacts comporte deux étapes. Le premier est de tromper les gens en leur faisant croire que l'application du pirate informatique est la vraie affaire. La seconde consiste à fournir une charge utile une fois que la fausse application incite l'utilisateur à la télécharger.
Pour lancer une attaque d'application de suivi de contact, un pirate ciblera un pays sur lequel baser sa fausse application. Idéalement, c'est un pays qui travaille sur une application ou qui en a déjà une. Cela garantit que leurs cibles connaissent et souhaitent télécharger une application de suivi des contacts.
Une fois que l'attaquant a sélectionné son pays cible, il se met au travail pour créer un faux site Web. Ils ne peuvent pas le télécharger sur Google Play, car il risque d'être détecté par les défenses de Google.
Cela ne veut pas dire que Google Play est exempt de menaces; après tout, il a abrité des cryptojackers dans le passé. Cependant, c'est une option plus sûre pour le pirate de l'héberger lui-même et d'éviter d'être détecté.
Le pirate informatique conçoit le faux site Web pour qu'il ressemble à une page Web gouvernementale officielle. Ils prendront des éléments du vrai site Web et les recréeront sur leur faux site Web pour aider à renforcer l'illusion.
Ils enregistreront ensuite un nom de domaine qui a l'air officiel afin que les gens ne se méfient pas. Cela inclut les URL qui ressemblent à la vraie affaire ou le remplacement des lettres par des alternatives similaires pour tromper quelqu'un qui ne vérifie pas l'adresse.
Maintenant que le pirate a préparé le terrain, il est temps de concevoir la charge utile que les visiteurs téléchargent. À partir de là, le pirate a deux options pour son logiciel malveillant. Ils peuvent le concevoir pour se cacher et récolter des données, ou utiliser des armes à feu flamboyantes et faire des demandes à la victime.
Si le pirate choisit la première option, il créera une application qui ressemble à la vraie chose. Anomali Threat Research a identifié de fausses applications de traçage de coronavirus associées à des chevaux de Troie bancaires. Ces chevaux de Troie transportaient les souches de logiciels malveillants mobiles les plus tristement célèbres, telles qu'Anubis.
Cette méthode est plus difficile à développer, car le pirate doit créer une application qui ressemble à la vraie chose. Parfois, ils peuvent utiliser le code de l'application de suivi de contrat légitime et y ajouter une charge utile cachée.
Une fois que l'utilisateur l'a téléchargé et installé, le logiciel malveillant peut se cacher à son insu et collecter des données. Si l'application est particulièrement convaincante, la victime peut partager l'application malveillante avec ses amis et sa famille, étendant ainsi le réseau encore plus loin.
Alternativement, le pirate peut choisir la voie destructrice. Cela inclut l'utilisation de logiciels malveillants visibles, tels que les rançongiciels. Après tout, le principe du ransomware est que vous le remarquiez !
ESET a découvert une souche dans la nature qui a emprunté cette voie. Il est apparu au Canada après que le gouvernement a annoncé le développement d'une application officielle. Celui-ci contenait le logiciel malveillant CryCryptor qui enfermait des fichiers importants et exigeait un paiement.
Bien que cette méthode d'attaque déclenche des sonnettes d'alarme, c'est la plus facile à répartir entre les deux. En tant que tel, les pirates l'utilisent pour un paiement rapide au lieu d'une longue escroquerie comme les logiciels malveillants bancaires.
Pour éviter cette arnaque, gardez un œil sur la progression de l'application de recherche des contacts de votre gouvernement. Vérifiez les sources d'information fiables et visitez le site Web de votre gouvernement pour les mises à jour.
Si votre pays dispose déjà d'une application de suivi des contrats, téléchargez-la uniquement à partir de sources officielles. Si vous recherchez l'application sur Google Play, assurez-vous d'obtenir la vraie affaire au lieu de télécharger un faux. Regardez le nombre d'avis ainsi que la note pour trouver la vraie application.
Lorsque vous installez une application de suivi des contacts, assurez-vous de revérifier les autorisations demandées. Si l'application demande toutes les autorisations qu'elle peut obtenir, ou si l'une de ses autorisations semble un peu suspecte, ne l'installez pas. Les logiciels malveillants mobiles dépendent du fait que les utilisateurs accordent trop d'autorisations pour fonctionner, alors vérifiez toujours la source si une application demande quelque chose d'inhabituel.
Si vous téléchargez une fausse application et que vous êtes touché par le rançongiciel CryCryptor, tout n'est pas perdu. ESET, les reporters de l'escroquerie basée sur un ransomware, a publié un outil de décryptage qui peut déverrouiller votre téléphone.
Le coronavirus provoquant la panique dans le monde entier, les pirates exploitent cette peur à des fins lucratives. Si votre pays a annoncé une application de traçage COVID-19, ne tombez dans aucun piège et ne suivez que des sources fiables.
Si vous avez du mal à identifier ce qui est vrai et ce qui est faux, assurez-vous de consulter les sites Web auxquels vous pouvez faire confiance pour obtenir des informations sur les coronavirus.
