Des chercheurs en cybersécurité ont découvert une nouvelle manière d'infecter des smartphones pour voler l'argent des victimes. La méthode utilisée touche aussi bien les mobiles sous Android que sous iOS.

Il est de plus plus difficile d'infecter votre smartphone à partir d'une application disponible sur le Play Store de Google ou l'App Store d'Apple. Les mesures de contrôle se renforcent et gagnent en efficacité de jour en jour. Certes, ce n'est pas encore parfait et certains programmes malveillants parviennent à passer entre les mailles du filet. La plupart du temps, ces applis se font passer pour quelque chose d'inoffensif, voire pour une entité légitime, le plus souvent votre banque. C'est en effet un moyen simple de soutirer vos identifiants associés puis votre argent.

Face à la barrière presque infranchissable que représente les magasins d'applications légitimes, les pirates se tournent vers d'autres solutions. Celle découverte par la firme spécialisée ESET Research utilise les PWA, ou Progressive Web App. Ce sont des applications Web possédant des fonctionnalités similaires à leur version mobile, par exemple la possibilité d'envoyer des notifications. Les installer ne demande pas de passer tout un tas de contrôle de sécurité, et les escrocs le savent bien.

Voici comment ces hackers s'y prennent pour voler votre argent depuis un smartphone Android ou iOS

L'idée générale est de vous faire installer une fausse PWA depuis votre navigateur mobile. Celle-ci imite l’application de votre banque et, une fois que vous y avez entré vos identifiants, ces derniers atterrissent entre les mains des arnaqueurs qui s'en serviront pour accéder à votre compte.

Mais comment vous convaincre de télécharger le fichier ? Trois méthodes sont à l’œuvre. D'abord des appels téléphoniques où un robot vous indique que votre application bancaire doit être mise à jour. Ensuite, si vous appuyez sur la touche du clavier demandée, un lien frauduleux vous est envoyé par SMS.

Lire aussi – Android, iOS : ce malware vole votre visage pour commettre des fraudes

Il renvoie bien sûr à une fausse page ressemblant à celle de votre banque avec le bouton pour télécharger la PWA. Enfin, des publicités affichées sur les réseaux sociaux, pour le moment Facebook et Instagram, vous incitent à cliquer sur un lien pour récupérer l'application. ESET Research souligne que le système de phishing fonctionne aussi bien sur Android que sur iOS. La méfiance est donc de mise.