[Android] Le « phishing » d’application sous Android

usa-network-mr-robot-darlene-carly-chaikin

 

Je lisais il y a quelque jour un billet du JDG qui traitait d'une nouvelle (ou ancienne) forme de "piratage", qui semble surtout s'attaquer aux applications Bancaires.

Pour ce qui est du "Comment ça fonctionne", c'est très simple !

Le fonctionnement

 

Le pirate développe ou reprend une application et la publie sur Internet.
Une personne installe alors cette application sur son smartphone ...

 

sans-titre

 

Une application qui ... semble "anodine" ...

L'utilisateur, ne va donc pas montrer une grande prudence quant à cette application ...
Celle-ci restera alors plusieurs jours sur son smartphone ...

Et en tâche de fond regardera l'activité de l'utilisateur ..
Afin de savoir quelles sont les applications  ouvertes, qui viennent d'être ouvertes, ou qui sont fermées

 

capture

 

Ainsi, il saura exactement lorsque vous allez ouvrir votre application, et pourra faire en sorte à s'ouvrir par dessus ...
Le tout de manière invisible pour l'utilisateur !

sans-titre

Ainsi l'utilisateur pensera avoir ouvert son application ... sauf qu'une autre "application" à l'image de celle q'il aura ouverte, ira se superposer par-dessus ...

Et le plus naïvement du monde, notre utilisateur ira saisir ses identifiants, dans ce qu'il pensera être son application bancaire ....

Bien entendu, la sécurité, ça n'est pas comme dans un navigateur.
L'utilisateur n'a pas la barre d'adresse sous les yeux qui lui indique sur quoi il est !

 

Mais que fait la police ?!?

Android dans ses dernières versions 5.0, 6.0, ... met le niveau haut, avec tout un tas de mesures contraignantes pour le développeur ... enfin ... le gentil développeur qui utiliserait le SDK  (outil de développement fourni par Android)

Attention c'est technique :

Il est tout à fait possible de contourner ces protections !
Aucune permission n'est demandée pour saisir des commandes "shell" ...
Android étant de la famille de Linus Torvalds, nous pouvons donc lister les processus avec la commande "ps" ...

 

Se protéger

Pour ma part, je n'ai jamais voulu consulter mes comptes bancaires ni sur smartphone, ni sur un ordinateur, je suis plutôt de la vieille école, et j'aime aller rendre visite à mon banquier lorsque c'est nécessaire ...

Cependant, je vous recommande, de ... ne pas rooter votre téléphone, et ne pas installer d'application trouvée par ci, par là ... et surtout, ne pas décocher la case "autoriser les applications de source inconnue" ... à moins de savoir ce que vous installer, et ce que ça implique !

 

Faire le mal

 

Pour comprendre comment se défendre, il est parfois nécessaire de se mettre dans la peau de son agresseur, c'est ainsi que j'ai développé un super plugin pour cordova qui permet de lister les applications ouvertes ...

Rien de bien complexe, mais c'est justement la seule fonctionnalité utilisée par cette technique

 

Le plugin se télécharge ici : https://dyrk.org/divers/ActiveAppsList.tar.gz

 

Il s'utilise ainsi :

var Sucess = function (listApplication){ }
var Error = function (error) {  }

 

test = cordova.require("cordova/plugin/ActiveAppsList");
test.getList(Success,Error);

 

Et fourni bel et bien, ce que l'on attend de lui ;)

 

screenshot_20161202-012355

 

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *