Skip to main content

Non, vous n'avez pas été invité à rejoindre Clubhouse - il s'agit d'un cheval de Troie visant les smartphones Android

Clubhouse
(Crédit photo: Clubhouse)

La plateforme audio (et select) Clubhouse compte parmi les applications les plus populaires du moment. C'est pourquoi les cybercriminels ont créé un clone de celle-ci, disponible sur Android et capable de propager un malware pour voler vos données personnelles sur des centaines de services en ligne.

La fausse application Android a été découverte par Lukas Stefanko, “chasseur” de logiciels malveillants chez ESET. Elle imite parfaitement l’interface et les fonctionnalités de la plateforme originale Clubhouse. Mais attention : bien que l’éditeur légitime envisage de lancer une version Android, aujourd’hui Clubhouse n'est disponible que sur iOS.

Ce plagiat subtil ne vous offre aucun accès au service et, surtout, contient un cheval de Troie appelé "BlackRock" - ESET l’a détecté sous la dénomination Android/TrojanDropper.Agent.HLR.

"Le service web ressemble à une vraie application. Pour être franc, il s'agit d'une copie bien exécutée de Clubhouse. Cependant, dès que l'utilisateur clique sur 'Get it on Google Play', le kit de téléchargement Android (APK) est automatiquement téléchargé sur son appareil. Alors que la plateforme Clubhouse officielle redirige toujours l’utilisateur vers un store légitime", explique M. Stefanko. 

Ce que vous risquez

Ce “faux Clubhouse” permet de dérober identifiants et mots de passe de la victime, à partir de 458 services en ligne recensés, dont des applications financières et d'e-commerce bien connues, des portefeuilles de crypto-monnaies, des réseaux sociaux et des messageries instantanées. Citons par exemple Twitter, WhatsApp, Facebook, Amazon, Netflix, Microsoft Outlook, eBay, Coinbase ou Cash App.

Il n'est pas difficile de repérer le faussaire, notamment par quelques éléments distinctifs. Ainsi le site web incriminé possède un nom de domaine de premier niveau (TLD) ".mobi" au lieu de ".com". Ensuite, le fichier .apk à télécharger a pour nom "Install", or il devrait s’intituler "Clubhouse".

Une fois qu'une victime a téléchargé et installé la fausse application, le cheval de Troie BlackRock tente de récolter ses informations personnelles en employant un processus d’attaque par superposition. Dans ce type d'attaque, chaque fois qu'un utilisateur lance l'une des applications ciblées sur son smartphone, le malware crée un formulaire factice d’identification, par superposition, et lui demande de se connecter. Dès lors, l'utilisateur transmet involontairement ses identifiants aux hackers responsables de cette arnaque. 

Pour aggraver les choses, même l’authentification à double facteur peut ici être contournée, car le trojan possède également la capacité d'intercepter les SMS. La fausse application Clubhouse demande de même aux victimes d'activer les services d'accessibilité pour donner aux pirates encore plus de contrôle sur leurs appareils Android.

Bien que vous puissiez être tenté de télécharger cette fausse application Clubhouse, surtout si vous êtes un utilisateur Android, il est fortement recommandé d'attendre que l'entreprise publie une version officielle et de passer directement par le Google Play Store pour récupérer cette dernière.