Une nouvelle campagne de malware sophistiquée vise les utilisateurs de smartphones Android en France, en Espagne, au Portugal et en Turquie. Disseminé via de fausses applications de streaming vidéo, ce cheval de Troie bancaire nommé « Massiv » permet aux cybercriminels de subtiliser des informations bancaires et d’usurper l’identité des victimes.
Les chercheurs de ThreatFabric ont mis en évidence une méthode de propagation particulièrement insidieuse : les pirates dissimulent le malware dans des applications IPTV (télévision par protocole Internet) proposées au téléchargement sur des sites web non officiels ou via des canaux Telegram. Les utilisateurs d’IPTV sont souvent habitués à télécharger des applications en dehors des plateformes officielles, ce qui les rend moins vigilants face aux risques potentiels.
Pour tromper leurs cibles, les cybercriminels présentent une interface d’application frauduleuse qui imite un service de streaming légitime. Grâce à une fonctionnalité Android appelée Vue Web, l’application malveillante peut même afficher le contenu d’un site de streaming réel, renforçant l’illusion. Pendant que l’utilisateur pense naviguer sur une plateforme authentique, le malware s’installe discrètement en arrière-plan.
Une fois activé, Massiv déploie un arsenal de techniques pour voler des données sensibles. Il enregistre toutes les frappes au clavier virtuel, interceptant ainsi les mots de passe et les identifiants. Le malware intercepte également les SMS, contournant ainsi les systèmes d’authentification à deux facteurs. Mais sa fonctionnalité la plus dangereuse réside dans sa capacité à afficher des fenêtres en superposition.
Lorsque la victime ouvre une application bancaire ou gouvernementale, Massiv affiche une fenêtre factice reproduisant à l’identique l’interface légitime. L’utilisateur, croyant interagir avec l’application authentique, saisit ses codes d’accès, qui sont immédiatement capturés par les pirates. Pour contourner les protections anti-capture d’écran de certaines applications sensibles, le virus utilise un « Mode arborescence de l’interface utilisateur », analysant et reconstituant la structure de l’interface pour extraire les informations affichées.
Les conséquences pour les victimes peuvent être désastreuses. Massiv offre aux attaquants un contrôle à distance total de l’appareil, leur permettant de surveiller l’écran en temps réel et de manipuler le téléphone à l’insu de son propriétaire. Grâce aux informations collectées, notamment via l’accès à des applications gouvernementales, les criminels peuvent usurper l’identité de la victime de manière complète.
« Avec ces données, les pirates peuvent ouvrir de nouveaux comptes bancaires au nom de la victime, contracter des prêts et utiliser ces fonds pour des opérations de blanchiment d’argent », expliquent les experts. La victime se retrouve alors endettée auprès d’organismes financiers dont elle n’a jamais entendu parler.
Face à cette menace, la prudence est de mise. Il est crucial d’éviter d’installer des applications (fichiers APK) provenant de sources non officielles et de se limiter exclusivement au Google Play Store.