Trend Micro révèle que des pirates sont parvenus à infecter les services d'activation par SMS, des services qui permettent de créer des numéros de téléphone jetables lorsque l'on se créé un compte sur les réseaux sociaux ou lorsque l'on doit valider un abonnement. Des milliers de Français sont déjà concernés, et c'est une preuve de plus que la validation pour double authentification n'est pas imparable.
au sommaire
De la même façon qu'il existe des adresses e-mail jetables pour éviter le spam, sont apparus il y a quelques années les numéros de téléphones jetables. Leur objectif : permettre d'activer des services par SMS ou d'authentifier votre identité sans donner son vrai numéro de téléphone. Idéal pour ne pas recevoir ensuite des appels frauduleux de faux comptes de formation ou de fausses activations de votre carte vitale. Idéal pour éviter que son numéro de téléphone mobile ne traîne sur Internet, et ne soit partagé.
Sauf que des petits malins ont décidé de créer un botnet qui récupère justement ces numéros « jetables » pour les conserver et ainsi accéder aux services auxquels vous êtes abonnés, mais aussi pour créer des comptes vérifiés par téléphone. Une manière frauduleuse d'utiliser la vérification par double authentification.
Plus de 5.500 infections en France
Selon Trend Micro, on relève déjà des dizaines de milliers de numéros piratés, essentiellement en Indonésie, en Russie et en Thaïlande, mais la France est le pays le plus touché en Europe avec plus de 5.500 infections ! La majorité des appareils concernés sont des téléphones AndroidAndroid d'entrée de gamme signés ZTE, Meizu, Huawei, Oppo ou encore HTC, et le plus inquiétant, c'est que Trend n'exclut pas que les malwares aient été installés avant l'achat du téléphone ! Ce qui signifierait que les pirates ont eu accès à la chaîne de conception du téléphone...
Trend Micro a identifié le malware Guerrilla conçu pour analyser les messages SMS reçus sur le téléphone Android piraté. Une fois que le virus est installé, une fonction de recherche qui est intégrée permet aux pirates, à distance, de récupérer uniquement les SMS en fonction d'un mot-clé ou d'une phrase.
« Le malware reste discret, ne collectant que les messages texte correspondant à l'applicationapplication demandée afin qu'il puisse continuer secrètement cette activité pendant de longues périodes, écrivent les experts de Trend Micro. Si le service permettait à ses clients d'accéder à tous les messages sur les téléphones infectés, les propriétaires le remarqueraient rapidement. »
Une arnaque pour créer des milliers de faux comptes
Quand on s'inscrit à ce type de service d'activation par SMS, le service en question s'appuie sur notre adresse IPadresse IP pour authentifier la connexion. Comment les pirates peuvent-ils contourner cette vérification ? Selon Trend Micro, ils déjouent cette restriction en utilisant des proxysproxys locaux et des VPN pour se connecter à la plateforme souhaitée.
Par ailleurs, comme ces services d'activation par SMS ne vendent que les codes de confirmation uniques nécessaires au moment de l'enregistrement d'un compte, le responsable du « botnet » s'appuie sur la flotte de smartphones infectés pour recevoir, examiner et signaler les codes de vérification SMS à l'insu et sans le consentement des propriétaires.
En d'autres termes, le botnet se créé un accès à des milliers de numéros mobiles dans différents pays, et il y a un effet boule de neige puisqu'en récupérant les codes d'activation, les pirates peuvent enregistrer de nouveaux comptes et les utiliser pour diverses activités frauduleuses. Trend Micro cite par exemple la création de milliers de faux comptes sur les réseaux sociauxréseaux sociaux pour, par exemple, faire circuler des fake news.
