[Android] Le « phishing » d’application sous Android
Je lisais il y a quelque jour un billet du JDG qui traitait d'une nouvelle (ou ancienne) forme de "piratage", qui semble surtout s'attaquer aux applications Bancaires.
Pour ce qui est du "Comment ça fonctionne", c'est très simple !
Le fonctionnement
Le pirate développe ou reprend une application et la publie sur Internet.
Une personne installe alors cette application sur son smartphone ...
Une application qui ... semble "anodine" ...
L'utilisateur, ne va donc pas montrer une grande prudence quant à cette application ...
Celle-ci restera alors plusieurs jours sur son smartphone ...
Et en tâche de fond regardera l'activité de l'utilisateur ..
Afin de savoir quelles sont les applications ouvertes, qui viennent d'être ouvertes, ou qui sont fermées
Ainsi, il saura exactement lorsque vous allez ouvrir votre application, et pourra faire en sorte à s'ouvrir par dessus ...
Le tout de manière invisible pour l'utilisateur !
Ainsi l'utilisateur pensera avoir ouvert son application ... sauf qu'une autre "application" à l'image de celle q'il aura ouverte, ira se superposer par-dessus ...
Et le plus naïvement du monde, notre utilisateur ira saisir ses identifiants, dans ce qu'il pensera être son application bancaire ....
Bien entendu, la sécurité, ça n'est pas comme dans un navigateur.
L'utilisateur n'a pas la barre d'adresse sous les yeux qui lui indique sur quoi il est !
Mais que fait la police ?!?
Android dans ses dernières versions 5.0, 6.0, ... met le niveau haut, avec tout un tas de mesures contraignantes pour le développeur ... enfin ... le gentil développeur qui utiliserait le SDK (outil de développement fourni par Android)
Attention c'est technique :
Il est tout à fait possible de contourner ces protections !
Aucune permission n'est demandée pour saisir des commandes "shell" ...
Android étant de la famille de Linus Torvalds, nous pouvons donc lister les processus avec la commande "ps" ...
Se protéger
Pour ma part, je n'ai jamais voulu consulter mes comptes bancaires ni sur smartphone, ni sur un ordinateur, je suis plutôt de la vieille école, et j'aime aller rendre visite à mon banquier lorsque c'est nécessaire ...
Cependant, je vous recommande, de ... ne pas rooter votre téléphone, et ne pas installer d'application trouvée par ci, par là ... et surtout, ne pas décocher la case "autoriser les applications de source inconnue" ... à moins de savoir ce que vous installer, et ce que ça implique !
Faire le mal
Pour comprendre comment se défendre, il est parfois nécessaire de se mettre dans la peau de son agresseur, c'est ainsi que j'ai développé un super plugin pour cordova qui permet de lister les applications ouvertes ...
Rien de bien complexe, mais c'est justement la seule fonctionnalité utilisée par cette technique
Le plugin se télécharge ici : https://dyrk.org/divers/ActiveAppsList.tar.gz
Il s'utilise ainsi :
var Sucess = function (listApplication){ }
var Error = function (error) { }
test = cordova.require("cordova/plugin/ActiveAppsList");
test.getList(Success,Error);
Et fourni bel et bien, ce que l'on attend de lui ;)