thodonal - stock.adobe.com
Vol de données bancaires : alerte à la fausse application Allo Resto Premium
Celle-ci est poussée depuis quelques jours par une vaste campagne d’e-mailing. Parfaitement illégitime, cette application envoie des détails de cartes bancaires en Russie, sur un domaine déjà utilisé pour du hameçonnage.
Depuis le week-end dernier, des e-mails sont diffusés en masse pour faire la promotion d’une soi-disant application Allo Resto Premium pour Android. La rédaction l’a reçu rien moins que 8 fois entre le 6 et 7 janvier. A chaque fois, le courriel prétend la même chose : le lancement d’un « nouveau produit ». Pour en profiter, il faut télécharger un paquet applicatif, un fichier APK, à installer sur son terminal mobile, sans passer par le magasin officiel d’Android ; un premier point qui, en lui-même, doit déjà attirer la suspicion.
Sollicité au sujet de cette prétendue application, Allo Resto en a réfuté la paternité sur Twitter. Nous avons téléchargé le fichier APK en question et l’avons transmis à Kaspersky, à qui nous avons demandé de l’analyser. Pour Felix Aimé, du service Great de l’éditeur, l’application « semble être malveillante ». Elle apparaît cacher une opération de vol de détails de cartes bancaires.
Dans son rapport, l’analyste explique que l’application reprend « le code source de l’application LaTaxi », apparemment légitime, développée par les indiens de Techware Solution, et distribuée via le Google Play Store. Mais elle y ajoute deux composants Java : l’un vise la gestion des SMS et l’autre collecte des détails de carte bancaire – numéro de carte, date d’expiration, et code de vérification.
Bonjour, certains clients nous ont fait part d'un mail frauduleux annonçant la sortie d'un nouveau produit "Allo Resto Premium". Nous ne sommes pas à l'origine de ce dernier. Merci de ne pas suivre les indications de ce mail.
— Hotline ALLO RESTO (@NOPROBLEMORESTO) January 8, 2018
Belle journée à tous !
Ce dernier composant, nommé CardDetailsSave.java, transmet les informations collectées à un serveur Web hébergé sur un hôte à l’adresse IP russe, sur le domaine fify.club. Et cela sans le moindre chiffrement : ce n’est pas https qui est utilisé pour l’échange, mais simplement http. Felix Aimé précise que le serveur correspondant « a été utilisé en 2017 sur au moins une page de phishing imitant la CAF afin de voler des identifiants (carte bancaire, informations civiles, etc.) ».