Des chercheurs ont analysé un nouveau cheval de Troie Android baptisé « Rokarolla ». Il est capable de prendre le contrôle d'un appareil, de voler les identifiants bancaires et de cryptomonnaie de plus de 200 applications, et de surveiller discrètement la plupart de vos activités sur votre téléphone.
Sur un appareil infecté, Rokarolla vole les identifiants d'accès aux services bancaires et aux cryptomonnaies. Il utilise également de fausses superpositions sur l'écran de verrouillage pour récupérer votre code PIN, votre schéma de déverrouillage ou votre mot de passe.
Lorsque vous ouvrez l'une des applications bancaires ou de cryptomonnaies figurant sur la liste des cibles de Rokarolla, le logiciel malveillant se télécharge et affiche une fausse page de connexion, identique à celle de l'application réelle, par-dessus cette dernière. Tout ce que vous saisissez sur cette fausse page, notamment vos identifiants, mots de passe et numéros de carte bancaire, est transmis aux pirates.
Par ailleurs, Rokarolla exploite abusivement les fonctionnalités d’accessibilité Androidpour surveiller l’activité sur l’appareil. Il est capable de reconnaître les écrans WhatsApp en recherchant des libellés familiers tels que « Discussions » et « Appels », d’extraire des informations de contact, de lire des SMS et d’en envoyer de nouveaux. Ces capacités lui permettent d’intercepter des mots de passe à usage unique (OTP) et des codes d’authentification à deux facteurs (2FA).
Rokarolla peut prendre le contrôle des SMS et des appels téléphoniques, ce qui lui permet de bloquer les alertes de sécurité et de masquer les signes de fraude.
Il peut également enregistrer tout ce que vous tapez et tout ce qui s'affiche à l'écran. Si vous copiez-collez l'adresse d'un portefeuille de cryptomonnaie, le logiciel malveillant peut la remplacer en secret par celle des pirates.
D'autres fonctionnalités permettent au logiciel malveillant de rester dissimulé, notamment la possibilité de masquer son icône, de mettre l'appareil en mode silencieux, de désactiver Google Play Protect et d'empêcher l'écran de se mettre en veille.
Comment cela se propage-t-il ?
Rokarolla est diffusé via des sites web malveillants, où il est proposé sous forme de fausses versions d'applications populaires telles que TikTok ou Chrome.
Au lieu de vous rediriger vers la boutique officielle Google Play Store, ces sites malveillants vous incitent à télécharger l'application directement, un processus appelé « sideloading ». Une fois installée, cette fausse application se fait passer pour Google Play Protect et télécharge et installe discrètement le logiciel malveillant à l'origine de l'attaque.
Pour obtenir les droits d'accès dont elle a besoin, cette fausse application demande des autorisations étendues, notamment l'accès aux fonctionnalités d'accessibilité, l'autorisation de lire les SMS et l'accès aux notifications. Comme ces demandes peuvent paraître légitimes, de nombreux utilisateurs risquent de les accepter sans se rendre compte des risques encourus.
Comment rester en sécurité
Pour éviter les chevaux de Troie bancaires tels que Rokarolla, voici quelques conseils à suivre :
- Ne faites pas confiance aux applications qui prétendent être Google Play Protect ou un autre composant du système. Vous ne devriez jamais avoir à les installer manuellement.
- Bénéficiez d'une protection anti-malware à jour et en temps réel, associée à une protection Web , sur vos appareils.
- Évitez de télécharger des applications qui sont disponibles sur le Google Play Store. Même si des logiciels malveillants peuvent parfois se glisser dans les boutiques officielles, le risque est bien plus élevé ailleurs.
- Refusez d'accorder des autorisations étendues aux applications téléchargées à partir de liens ou de sites web, en particulier si elles demandent l'accès aux fonctions d'accessibilité, l'autorisation d'accéder aux SMS ou la possibilité de gérer les appels, même si cela ne correspond pas à l'objectif déclaré de l'application.
- En effet, toute demande d'accès aux fonctionnalités d'accessibilité doit être traitée avec prudence. Si une application qui n'est manifestement pas un outil d'accessibilité en fait la demande, refusez-la et demandez-vous si vous pouvez faire confiance à la source.
- Examinez attentivement les écrans de connexion des services bancaires et des plateformes de cryptomonnaies. Si quelque chose vous semble suspect ou si plusieurs invites de connexion s'affichent, fermez l'application et relancez-la à partir de son icône officielle.
Les escrocs en savent plus sur vous que vous ne le pensez.
Malwarebytes Mobile Security vousMobile Security contre le phishing, les SMS frauduleux, les sites malveillants et bien plus encore. Il intègre une fonctionnalité Scam Guard en temps réel, optimisée par l'IA.
