'BTCTurk Pro Beta', 'BtcTurk Pro Beta' et 'BTCTURK PRO': ce sont là les trois appellations de fausses applis de crypto-monnaie que des chercheurs de l'entreprise de sécurité ESET ont découvertes ce mois-ci. Ces noms renvoient à la plate-forme de crypto-monnaies turque légitime BtcTurk. Les applis tentent de mettre la main explicitement sur les données de login des clients BtcTurk, pour ensuite dérober les crypto-monnaies. Ces trois applis ont été déposées dans Google Play ce mois-ci. Aussitôt après l'avertissement émis par ESET, Google a supprimé les applis du magasin.

Contournement de la restriction

Ce qui est étonnant, c'est que les applis intégraient une manière jusqu'à présent inédite de déjouer la vérification à deux facteurs ('two-factor authentication', en abrégé F2A). Les applis parvenaient à déchiffrer le mot de passe unique (le mot de passe 'one-time' alias OTP) que BtcTurk génère et qui apparaît à l'écran de l'appareil compromis. Elles réussissaient ainsi à s'emparer des données de login et à effectuer des opérations frauduleuses, même en présence d'une sécurité F2A activée.

Mais en mars, Google n'avait-elle pas limité l'utilisation de références d'appels et de SMS dans les applis Android, précisément pour éviter les actions illégales? "L'un des effets positifs des restrictions de Google de mars 2019, c'est que les applis qui volent des données d'identification, perdent la possibilité d'abuser des notifications et de contourner ainsi les mécanismes 2FA sur base de SMS. Mais avec la découverte de ces fausses applis, nous avons décelé à présent le premier malware (maliciel) capable de déjouer la restriction de l'autorisation par SMS", signale le chercheur d'ESET Lukᨠ¦tefanko.

L'autorisation a été introduite dans Jelly Bean version 4.3 d'Android, ce qui fait que quasiment tous les appareils Android sont sensibles à cette nouvelle technique. Les fausses applis BtcTurk tournent sur Android version 5.0 (KitKat) et supérieure. Elles sont donc capables d'impacter quelque 90 pour cent des appareils Android.

Pour ce qui est de l'efficience du contournement de la 2FA, cette technique spécifique a heureusement ses limites. Les agresseurs n'ont accès qu'au contenu présent dans le champ de texte de la notification, et il n'est pas certain que le mot de passe unique se trouve dans ce texte. La trouvaille illustre cependant une fois encore que les agresseurs restent ingénieux dans la façon de déjouer les protections et limites supplémentaires.