Vous téléchargez des applis de TV pirate sur votre téléphone ? Mauvaise idée. Un nouveau cheval de Troie bancaire vient d’être repéré en Europe du Sud, et il cible la France.

Une fausse appli de streaming, un vrai braquage numérique

Les chercheurs en sécurité de ThreatFabric viennent de publier un rapport sur Massiv, un malware Android qui n’a aucun lien connu avec d’autres familles de logiciels malveillants. Son mode opératoire est redoutable : il se déguise en application IPTV (ces applis qui promettent la télé gratuite en streaming) et, une fois installé, prend le contrôle total du téléphone.

Le piège fonctionne parce que les applis IPTV pirates ne se trouvent pas sur le Google Play Store. Les utilisateurs doivent les télécharger en dehors des canaux officiels, sous forme de fichiers APK. Du coup, ils sont déjà conditionnés à ignorer les avertissements de sécurité Android.

À lire aussi

Objets connectés : pourquoi votre maison est probablement une passoire de sécurité
Un hacker prend le contrôle de 7 000 aspirateurs robots DJI. Caméras comprises.

Comptes bancaires vidés, identités volées

Massiv ne se contente pas de voler des mots de passe. Selon BleepingComputer, qui relaie les travaux de ThreatFabric, le malware superpose de faux écrans par-dessus les vraies applications bancaires. Quand la victime tape ses identifiants, tout part directement vers les pirates.

Pire : au Portugal, une campagne a ciblé l’application gouvernementale gov.pt, qui sert de portefeuille d’identité numérique. Les criminels récupèrent numéro de téléphone et code PIN pour contourner les vérifications d’identité bancaires. ThreatFabric a documenté des cas où de nouveaux comptes bancaires ont été ouverts au nom des victimes, puis utilisés pour du blanchiment d’argent et des emprunts frauduleux.

Le malware dispose de deux modes de contrôle à distance. Le premier diffuse l’écran du téléphone en direct via l’API MediaProjection d’Android. Le second, plus sournois, extrait l’arborescence complète de l’interface : texte affiché, coordonnées des boutons, noms des éléments. Les attaquants peuvent cliquer, taper du texte, valider des opérations. Ce deuxième mode contourne les protections anti-capture d’écran que certaines applis bancaires mettent en place.

La France dans le viseur

Selon ThreatFabric, les fausses applis IPTV embarquant Massiv visent principalement l’Espagne, le Portugal, la France et la Turquie. La tendance est en forte hausse : le nombre d’APK malveillants déguisés en applis IPTV a grimpé sur les huit derniers mois.

Dans certains cas, l’appli piège affiche carrément un site IPTV légitime dans un WebView pour maintenir l’illusion. L’utilisateur croit regarder ses chaînes, pendant que le malware s’active en arrière-plan.

Comment se protéger

Google recommande de ne jamais installer d’applications en dehors du Play Store et de garder Play Protect activé. Le conseil vaut double pour les applis IPTV : si elle n’est pas sur le Store, c’est qu’il y a une raison. Et cette raison, c’est souvent que l’appli viole les règles de Google. Ou qu’elle cache quelque chose de bien plus grave qu’un flux télé piraté.