TousAntiCovid : Un phishing imite le SMS gouvernemental
Dans un tweet, le compte TousAntiCovid alerte les utilisateurs sur une campagne d’hameçonnage en cours visant les utilisateurs de smartphones Android. Cette campagne de SMS malveillants a été découverte par Cyberguerre, qui explique avoir reçu une copie du SMS de phishing envoyé à des utilisateurs de téléphones Android. Celui-ci se présente comme une copie quasi conforme du SMS envoyé par le gouvernement pour inciter les citoyens à télécharger l’application TousAntiCovid, mais le lien affiché dans le SMS est différent : il s’agit d’un lien bit.ly, un raccourcisseur d’URL, et non du lien affiché dans le SMS légitime, qui redirige lui vers le nom de domaine bonjour.tousanticovid.gouv.fr. Autre différence qui permet de détecter le message contrefait : l’auteur du message affiché est “GOUV.FR”, en majuscules, tandis que l’auteur du message légitime est “Gouv.fr”.
Selon Cyberguerre, les utilisateurs qui cliquent sur le lien du SMS contrefait sont redirigés vers une page à l’adresse covid[.]tousensemble[.]app, qui imite l’interface du site officiel de l’application TousAntiCovid, et qui leur propose le téléchargement d’un APK, un fichier d’installation d’application Android.
Un malware bancaire diffusé
L’application installée n’est pas l’outil de contact tracing proposé par le gouvernement mais un logiciel malveillant, connu sous le nom d’Alien. Cette application est un malware bancaire dont le but est de voler les identifiants stockés sur le téléphone de la victime. Pour y parvenir, elle va demander à l’utilisateur des autorisations, notamment la désactivation de Google Play Protect, un outil de sécurisation Android. Si l’utilisateur accepte, le logiciel s’arrogera les permissions nécessaires à son fonctionnement et volera les identifiants et mots de passe présents sur l’appareil, avant de les exfiltrer vers un serveur basé en Allemagne. L’application est capable en outre de récupérer ce que l’utilisateur tape sur le clavier du smartphone, ainsi que les données présentes sur le téléphone. Elle se révèle également difficile à désinstaller, selon Cyberguerre, qui conseille aux personnes ayant installé le logiciel par erreur de réinitialiser leur téléphone.
Le gouvernement indique dans son tweet que la campagne de communication par SMS envoyée par le gouvernement s’est achevée mercredi. Les SMS reçus depuis cette date sont donc suspects et les utilisateurs doivent faire preuve de vigilance sur le nom de domaine et le nom de l’auteur du message envoyé. Le gouvernement avait commencé cette campagne dimanche, en partenariat avec les différents opérateurs mobiles, pour inciter les Français à télécharger la nouvelle version de l’application de contact tracing. Cette campagne de SMS s’est faite de manière progressive, afin de ne pas saturer les réseaux mobiles, mais les envois de SMS officiels se sont étendus du 28 novembre au 2 décembre.
