Un nouveau mode opératoire des cybercriminels menace les utilisateurs d’Android, utilisant une application de messagerie pour voler des informations tout en effaçant les traces d’activité. Découvrez les détails de cette menace et les précautions à prendre pour garantir la sécurité de vos données.
Le nouveau mode opératoire des hackers pour voler des données
Ce type d’attaque malveillante se propage via une application de messagerie instantanée en Corée du Sud, où la majorité des incidents se produisent. Les victimes reçoivent des messages qui imitent l’identité d’organismes officiels, comme la police. Si l’utilisateur se laisse piéger et exécute le fichier malveillant joint, le malware s’installe sur le dispositif et contacte un serveur pour télécharger des fichiers supplémentaires utiles à l’attaque. Selon les informations, ces fichiers incluent des chevaux de Troie d’accès à distance.
Le principal objectif de ces chevaux de Troie est de dérober les identifiants des utilisateurs. Une fois que le dispositif est infecté, le virus recherche et collecte les informations de connexion des comptes Google de l’utilisateur. Lorsque les hackers accèdent à ce compte, les alertes se déclenchent. Ils se connectent alors à Find Hub, l’application Localisateur de Google, qui permet aux utilisateurs de trouver leurs dispositifs Android, de les bloquer ou d’effacer leurs données.
Les hackers bénéficient d’un double avantage : ils peuvent d’abord consulter la localisation GPS exacte du téléphone de la victime. D’autre part, ils ont accès à la fonction de réinitialisation d’usine du dispositif. Une analyse forensique a révélé le fonctionnement précis de l’attaque. Les hackers traquent l’utilisateur par GPS et choisissent le moment opportun pour agir, comme lorsque la victime se trouve hors de chez elle et qu’elle est moins encline à réagir rapidement. À ce moment-là, ils exécutent la commande d’effacement à distance et, pour garantir la destruction de toutes les données, répètent la commande jusqu’à trois fois.
Comment se protéger de l’attaque
Suite à la déclaration publique, Google a précisé que cette attaque n’exploite aucune vulnérabilité d’Android ou de l’application Localisateur de Google. Le problème réside dans le vol des identifiants, c’est-à-dire que l’attaque nécessite la présence du malware sur le dispositif de la victime pour récupérer les mots de passe.
Ainsi, la principale recommandation de sécurité, tant des experts que de Google, consiste à activer la vérification en deux étapes. Cette couche de sécurité supplémentaire empêche les attaquants d’accéder au compte Google, même après avoir volé le mot de passe. De plus, il est conseillé aux utilisateurs de ne pas télécharger ni ouvrir des fichiers joints non sollicités sans vérifier l’identité de l’expéditeur.