Bref, le billet de Fortinet. Bref, mais éloquent : Zitmo (Zeus In The Mobile), après avoir frappé les smartphones sous Symbian, Blackberry et Windows Mobile, s’attaque à la base Android.
Zeus est la preuve (s’il en fallait une) qu’il est vain de donner une absolue confiance aux systèmes d’authentification à deux facteurs. Ce malware est spécialisé dans l’interception de « codes confidentiels de confirmation » émis par les banques sous forme de SMS. Il agit de manière assez simple. Dans un premier temps, une attaque en ingénierie sociale convainc l’usager de télécharger une appliquette de « sécurité » sur son téléphone. Cette attaque est généralement initiée lors de la visite d’un site web compromis. La phase suivante consiste à infecter l’ordinateur de l’usager pour qu’il serve de proxy. Le malware situé sur le pc pourra ainsi émettre des ordres de virement, lesquels provoqueront l’envoi d’un SMS de « double authentification » qui sera détourné par le malware situé sur le téléphone… pour être transmis au pirate supervisant Zitmo. Lequel peut alors prendre la main sur le transfert, expédier le « bon » code d’activation et récupérer le montant du virement, sur un compte situé quelque part entre la Bosnie-Herzégovine, le bas-Berry et le Kamchatka inférieur.
Ce portage de code prouve à la fois la bonne santé du marché Android (les auteurs de virus ne travaillent que sur des systèmes qui en valent la peine) et la difficulté qu’ont les banques à réagir rapidement lorsque leurs systèmes « inviolables » ont été compromis. L’usage des claviers virtuels à position aléatoire (une autre technique à « double facteur ») a commencé à se généraliser plus de 2 ans après que de nombreuses publications et recherches aient prouvé la fragilité de cette méthode. Les techniques de « call back » par SMS avaient déjà été compromises de très nombreuses fois, notamment il y a plus de 10 ans sur le réseau SFR lorsqu’un procédé analogue avait été mis en place pour authentifier l’accès au réseau WiFi de l’opérateur (accès aux contenus sms via Bluetooth, refus de la part de SFR de considérer la chose comme une « faille de sécurité directement liée à son réseau »).