thodonal - stock.adobe.com

Vol de données bancaires : alerte à la fausse application Allo Resto Premium

Celle-ci est poussée depuis quelques jours par une vaste campagne d’e-mailing. Parfaitement illégitime, cette application envoie des détails de cartes bancaires en Russie, sur un domaine déjà utilisé pour du hameçonnage.

Depuis le week-end dernier, des e-mails sont diffusés en masse pour faire la promotion d’une soi-disant application Allo Resto Premium pour Android. La rédaction l’a reçu rien moins que 8 fois entre le 6 et 7 janvier. A chaque fois, le courriel prétend la même chose : le lancement d’un « nouveau produit ». Pour en profiter, il faut télécharger un paquet applicatif, un fichier APK, à installer sur son terminal mobile, sans passer par le magasin officiel d’Android ; un premier point qui, en lui-même, doit déjà attirer la suspicion.

Suite de l'article ci-dessous

Sollicité au sujet de cette prétendue application, Allo Resto en a réfuté la paternité sur Twitter. Nous avons téléchargé le fichier APK en question et l’avons transmis à Kaspersky, à qui nous avons demandé de l’analyser. Pour Felix Aimé, du service Great de l’éditeur, l’application « semble être malveillante ». Elle apparaît cacher une opération de vol de détails de cartes bancaires.

Dans son rapport, l’analyste explique que l’application reprend « le code source de l’application LaTaxi », apparemment légitime, développée par les indiens de Techware Solution, et distribuée via le Google Play Store. Mais elle y ajoute deux composants Java : l’un vise la gestion des SMS et l’autre collecte des détails de carte bancaire – numéro de carte, date d’expiration, et code de vérification. 

Ce dernier composant, nommé CardDetailsSave.java, transmet les informations collectées à un serveur Web hébergé sur un hôte à l’adresse IP russe, sur le domaine fify.club. Et cela sans le moindre chiffrement : ce n’est pas https qui est utilisé pour l’échange, mais simplement http. Felix Aimé précise que le serveur correspondant « a été utilisé en 2017 sur au moins une page de phishing imitant la CAF afin de voler des identifiants (carte bancaire, informations civiles, etc.) ».

Pour approfondir sur Menaces informatiques

- ANNONCES GOOGLE

Close