[Tech] Un cas concret de piratage à la carte bancaire

Comme vous tous, j’ai pu lire ces dernières années de nombreux articles mentionnant l’avancée inquiétante des piratages et arnaques à la carte bancaire, que ce soit au distributeur, par la pose d’un lecteur discret par-dessus l’appareil ou, dans le cas qui va nous intéresser ici, par troyen ou malware. Les pcs sont bien sûr visés, notamment sous Windows puisqu’il était le système d’exploitation le plus utilisé jusqu’à être récemment supplanté par les smartphones, avec Android comme fer-de-lance. Nous allons voir ensemble que ça semble effectivement être le cas dans les faits.

Tout commença le jour où j’ai appris que la carte bancaire d’une de mes connaissances avait été utilisée de manière illicite aux USA. (Pour comprendre cette anecdote, il faut savoir qu’elle a effectué pour la première fois un paiement via son smartphone quelques jours auparavant.) Elle l’a appris à ses dépens, en remarquant que la carte était bloquée en tentant de payer dans un magasin. Elle a donc entamé la procédure d’envoi d’une nouvelle carte, avec un nouveau numéro, mais ce n’est pas ce qui nous intéresse ici. Ce que je me suis immédiatement demandé, c’est d’où pouvait bien venir la faille. Avait-elle été victime d’un site contrefait ? D’un mail de phishing ? D’un troyen sur un des ses appareils ? Ou alors d’autre chose ? J’ai donc décidé, pour mes connaissances personnelles et surtout pour éviter que cela se reproduise, de tenter de comprendre par où étaient passés les pirates.

Ce qu’il faut d’abord savoir, c’est que j’ai installé Xubuntu sur son laptop en dualboot à Windows, qui souffrait énormément du manque de ressources disponibles sur cette machine plutôt bas de gamme. Xubuntu lui a redonné un coup de fouet, et pour les tâches de surf pures, Firefox est bien plus réactif de ce côté du GRUB. Elle utilise encore la partie Windows de temps en temps, notamment pour la bureautique, car habituée à Office même si Open Office est disponible de l’autre côté. On peut donc estimer que les trois quarts du temps, c’est donc Xubuntu qui est sollicité. N’étant pas familière du gestionnaire de logiciels intégré à cette distribution et encore moins de la ligne de commande, j’ai éliminé d’office la partie GNU/Linux comme étant la faille exploitée dans ce cas. J’ai donc entrepris de lancer un full scan d’Antivir (sur la partie Windows bien entendu) ainsi qu’un full Malwarebytes. Je savais que ça prendrait du temps vu la vélocité de la machine alors j’ai attendu le lendemain soir pour voir les résultats de ces deux scans.

Le lendemain, j’ai repris la main sur la machine et je suis d’abord allé voir le rapport de Malwarebytes: que dalle. Puis Antivir, qui m’annonce « 29 virus ou programmes indésirables trouvés ! » Je vous laisse apprécier le rapport en question ci-dessous. Les infos privées ont volontairement été tronquées et le rapport raccourci.

La recherche sur les fichiers sélectionnés commence:

Recherche débutant dans ‘C:\’
C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\18TV_137219548518368374.apk
[RESULTAT] Contient le code du virus ANDROID/Droidapp.A.1

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\23kms7773.apk
[RESULTAT] Contient le code du virus ANDROID/TrojanSMS.Agent.KJ.1

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\glz3055gkch.apk
[RESULTAT] Contient le code du virus ANDROID/Agent.KA.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\lecteurVideo.apk
[RESULTAT] Contient le modèle de détection du logiciel publicitaire ADWARE/ANDR.Airpush.L.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\Playporn_v2_13779402146267853.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\PlayXXX_1372162047_45296.apk
[RESULTAT] Contient le code du virus ANDROID/Droidapp.A.1

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sexyface_10-1.apk
[RESULTAT] Contient le code du virus ANDROID/SmsAgent.AH.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sexyface_10-2.apk
[RESULTAT] Contient le code du virus ANDROID/SmsAgent.AH.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sexyface_10-3.apk
[RESULTAT] Contient le code du virus ANDROID/SmsAgent.AH.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sexyface_10.apk
[RESULTAT] Contient le code du virus ANDROID/SmsAgent.AH.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sexyface_1al5d6elag8f9gt2.apk
[RESULTAT] Contient le code du virus ANDROID/Erop.I.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sexyface_6kdb1snz08pb9fy7.apk
[RESULTAT] Contient le code du virus ANDROID/Erop.I.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sx7bkch-1.apk
[RESULTAT] Contient le code du virus ANDROID/Agent.KA.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\sx7bkch.apk
[RESULTAT] Contient le code du virus ANDROID/Agent.KA.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\tfchj9744.apk
[RESULTAT] Contient le code du virus ANDROID/Agent.KA.Gen

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\TU-KIF_1380825311_171038-1.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\TU-KIF_1380825311_171038.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_1377856746_573826-1.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_1377856746_573826.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137407776616321102.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137407779077146425-1.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137407779077146425.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137410283676716086.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137410383783044396-1.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137410383783044396-2.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137410383783044396-3.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137410383783044396-4.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Documents\samsung\Kies3\backup\GT-I9300\GT-I9300_\GT-I9300_20140810164426\Others\Download\UltraVOD_v2_137410383783044396.apk
[RESULTAT] Contient le code du virus ANDROID/SMSreg.A.897

C:\Users\XXX\Downloads\mobilego_full1150.exe
[0] Type d’archive: Inno Setup
–> {app}\root\rootf.apk
[1] Type d’archive: ZIP
–> lib/armeabi/libframalib.so
[RESULTAT] Contient le code du virus ANDROID/Lotoor.be

Les plus attentifs d’entre vous auront remarqué que toutes ces infections proviennent d’un seul répertoire: C:\Users\XXX\Documents\samsung\Kies3\backup\, répertoire où le programme Kies de Samsung sauve par défaut les backups effectués. Or, il se trouve qu’en août 2014 (ce sont d’ailleurs les dates qui remontent), nous avions fait ensemble une sauvegarde de son S3 via ce soft, juste au cas où. C’est donc par un TOTAL HASARD que j’ai pu tomber sur les apk qui se trouvaient sur son smartphone à l’époque, et qui s’y trouvaient toujours avant que je lui fasse faire le grand nettoyage avec la solution pour Android de Kaspersky, qui n’a pas manqué de trouver pléthore de virus et autres troyens. Comment est arrivée la toute première infection ? Je n’en ai aucune idée, mais je soupçonne que l’infection originelle a été effectuée manuellement, entrainant dans son sillage tous les autres malwares présents dans le rapport.

Ma conscience me souffle que je ne dormirai tranquillement que lorsque ce smartphone aura été complètement réinitialisé et pas seulement nettoyé et « patché » par Kaspersky. Si certains d’entre vous ont de la documentation sur les infections qui s’accrochent même après un reset du smartphone, je suis preneur, car dans le doute je soupçonne que c’est possible.

Affaire à suivre donc.