Les hackers malveillants ne manquent pas d’imagination. Pour échapper aux mesures de sécurité d’iOS et d’Android, des nouvelles campagnes d’arnaques exploitent les standards modernes du web pour siphonner des données avec un air plus légitime que jamais. Comme l’a remarqué Bleeping Computer, en Hongrie et Géorgie des campagnes de phishing bancaire se faufilent sur les téléphones des victimes grâce à des PWA bien ficelés.
Les PWA (ou Progressive web Apps dans la langue de Shakespeare) sont des applications web poussées qui peuvent émuler les fonctions d’applications natives (notifications, interface plein écran, etc.). Pensées pour offrir une alternative aux applis « classiques » distribuées depuis l’App Store ou le Play Store, elles peuvent être installées depuis n’importe quel site, accéder aux données de votre téléphone comme n’importe quelle app et échappent aux contrôles mis en place par Apple et Google sur leurs magasins d’application.
Des apps à l’allure officielle
En exploitant ces fonctionnalités, des pirates ont donc ficelé des campagnes d’hameçonnage très convaincantes. Repérée par les spécialistes en cybersécurité de chez ESET, l’opération commence par un message innocent conseillant à la victime de mettre à jour l’application de sa banque en se rendant sur le Play Store ou l’App Store. Sauf que le lien contenu dans le message redirige vers un clone des magasins d’apps de Google et Apple qui va ensuite vous pousser à installer une PWA à l’allure tout à fait officielle.
Le principe même des PWA est en effet d’agir comme une app classique avec un raccourci posé sur le bureau, une expérience de navigation native et une interface adaptée. En apparence, rien ne permet de la discerner d’une app bancaire classique, ce qui a plutôt tendance à rassurer. Et comme aucun fichier d’installation n’est techniquement téléchargé sur l’appareil, aucun message d’alerte n’apparaît et les antivirus d’Apple et de Google n’y voient que du feu.
Méfiance est mère de sûreté
Une utilisatrice ou un utilisateur peu précautionneux peut ensuite se faire avoir en renseignant ses coordonnées bancaires sur « l’app » qui n’est en réalité rien d’autre qu’une fenêtre vers un site malveillant. Les PWA pouvant être mis à jour sans rien télécharger sur le téléphone, elles peuvent en plus s’adapter en permanence pour rester sous les radars.
Pour aller plus loin
Mandrake : voici le « nouveau » logiciel malveillant sur Android dont vous devriez vous méfier
Une seule PWA pouvant en plus infecter les utilisateurs Android ou iOS, il est plus important que jamais d’exercer une bonne dose de scepticisme au moment de cliquer sur un lien reçu par mail, par SMS ou même via des pop-up sur des sites tiers.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix