Peut-on faire confiance à nos applications bancaires pour gérer nos comptes depuis un smartphone ? La question est souvent posée et la réponse fournie par un spécialiste de la sécurité informatique chez Eset a de quoi faire froid dans le dos : « Jamais je ne consulterais mes comptes bancaires depuis une application mobile ». Selon Une étude de l’antimalware Kaspersky, 9 du top 12 des malwares qui ciblent le plus les smartphones sont des chevaux de Troie bancaires. Et leur importance a crû de 50% en une seule année (2018).
Un livre blanc identifie deux dangers majeurs
Dans un livre blanc rédigé par l’entreprise Eset, spécialisée dans la sécurisation des logiciels, deux dangers majeurs sont identifiés pour les applications bancaires fonctionnant sur la plate-forme Android. Une plate-forme supportée par la grande majorité des smartphones.
Ces deux dangers majeurs portent un nom : cheval de Troie (MazarBot, BankBot, Anubis et Exobot) et fausses applications bancaires. Leur but est unique : voler les coordonnées des clients, et les détrousser si possible.
S’il fallait décrire ces chevaux de Troie d’un seul mot, ce serait « discrétion ». Leur principal atout est leur capacité à rester invisible le temps du vol. Ces malwares se diffusent principalement par les sites de vente en ligne non officielle. Mais le magasin Google Play (Android) peut aussi servir de vecteur de diffusion, au hasard du chargement d’une application d’allure anodine comme un horoscope, un gestionnaire batterie ou une fausse appli de Pokemon Go. Une fois dans le téléphone, le virus superposera une fausse interface bancaire à la fenêtre légitime lors de la prochaine tentative de l’internaute de se rendre sur le site de sa banque.
Les fausses applications bancaires répondent à un mécanisme plus simple : afficher un site qui ressemble à s’y méprendre à un vrai site financier. Ici, tout est dans la persuasion, amener un client à télécharger sur Google Play une fausse appli de sa banque. En conclusion, le rapport assure que les chevaux de Troie sont plus efficaces que les fausses applis qui touchent moins de gens, mais n’en demeurent pas moins dangereuses.