Une fausse application Android transforme votre smartphone en relais SMS délivrant aux cybercriminels des codes à usage unique

Messagerie
(Crédit photo: Future)

Des chercheurs ont récemment découvert une application Android malveillante qui transforme les appareils en relais SMS, utilisés pour vérifier les comptes créés sur Internet.

À l'heure où nous publions ces lignes, l'application a été téléchargée plus de 100 000 fois sur le Google Play Store et peut encore être téléchargée !

Souvent, lorsque les gens créent des comptes en ligne, ils doivent vérifier leur identité via leur téléphone portable et confirmer qu'ils ne sont pas des bots ou des utilisateurs qui spamment la création de comptes. Les utilisateurs partagent leur numéro de téléphone et reçoivent un code d'accès à usage unique (OTP) pour vérifier leur identité.

De fausses applications SMS

Pour ceux qui cherchent à rester anonymes en ligne, la possibilité de créer des comptes en ligne sans avoir à partager leur numéro de téléphone semble attrayante, mais les méthodes disponibles mettent souvent en danger des personnes innocentes.

Le chercheur Maxime Ingrao, de la société d'assistance en cybersécurité Evina, a récemment découvert Symoo, une application qui se présente comme une "simple application SMS". En fait, elle ne fait que transmettre des codes OTP par SMS à des utilisateurs anonymes, susceptibles d'être des cybercriminels, pour la création de comptes. 

Lorsque les utilisateurs installent l'application, celle-ci demande des autorisations SMS (ce qui ne devrait pas susciter d'inquiétude, étant donné qu'elle est décrite comme une application SMS). Elle demande ensuite le numéro de téléphone de l'utilisateur et, s'il le fournit, elle affiche un faux écran de chargement avec une barre de progression. 

En arrière-plan, elle invite les opérateurs distants à envoyer plusieurs SMS d'authentification à deux facteurs, les aidant à créer des comptes sur différents services en ligne. Une fois cette étape franchie, l'application se fige et semble ne pas fonctionner.

En réalité, Ingrao a découvert que Symoo partage les données SMS exfiltrées avec une autre application, appelée Virtual Number, qui n'est plus disponible sur le Play Store. 

Le développeur propose toutefois une application similaire, appelée "Activation PW - Virtual numbers", qui offre des numéros de téléphone authentiques pour aider quiconque le souhaite à créer des comptes. Pour quelques centimes, les utilisateurs peuvent obtenir un numéro de téléphone et l'utiliser pour vérifier un compte par SMS. Cette application a été téléchargée plus de 10 000 fois (mais n'est plus disponible sur le PlayStore). 

Bien qu'il n'y ait rien de mal en soi à utiliser un service de numéros virtuels, puisque même Google en propose un sous la forme de Google Voice (s'ouvre dans un nouvel onglet), il est conseillé aux utilisateurs de désinstaller cette application dès que possible, sous peine d'être victimes d'une fraude.

Via BleepingComputer (s'ouvre dans un nouvel onglet).

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.