De nouvelles campagnes de mishing ciblent les demandeurs d’emploi
À l’heure actuelle, on a tendance à se méfier, du moins un peu, de l’endroit sur Internet où nous décidons de partager nos informations. Toutefois, des acteurs malveillants continuent d’identifier les domaines dans lesquels nous sommes susceptibles de baisser la garde, l’un d’entre eux étant les demandes d’emploi. Sur le marché actuel, les demandeurs d’emploi peuvent postuler à des dizaines d’emplois en un clic ou avec un CV qu’on ajoute à de simples formulaires. La simplicité du partage, notre confiance en ces sites d’offres d’emploi, ainsi que le désespoir de certaines personnes sans emploi, créent un environnement dans lequel de fausses entreprises ciblent facilement les candidats.
Connue sous le nom d’«arnaques au recrutement» ou «arnaques à l’emploi», cette forme de phishing a été exploitée par des acteurs malveillants dans de nombreuses campagnes au cours des dernières années. Ils sont parvenus à infiltrer des sites Web fiables et réputés tels que LinkedIn, ainsi qu’à se faire passer pour des chasseurs de têtes et contacter directement des personnes via des plateformes telles que WhatsApp dans ce que l’on appelle une attaque de mishing. On désigne généralement ainsi une tentative de phishing ciblant les appareils mobiles ou leurs utilisateurs (ou bien parfois aussi une attaque de phishing basée sur le marketing).
La dernière campagne de mishing ciblant des candidats potentiels prend la forme d’une arnaque à l’emploi où les victimes téléchargent un logiciel, malveillant et dangereux, sur leurs smartphones. Présenté comme faisant partie du processus d’embauche, il s’agit en réalité d’un outil déguisé qui permet d’installer des logiciels malveillants sur l’appareil. L’équipe «zLabs» de Zimperium a identifié une variante de la famille de logiciels malveillants Antidot comme charge utile, appelée «AppLite». Ce cheval de Troie bancaire dangereux est spécialement conçu pour collecter vos données financières.
Comment fonctionne un cheval de Troie bancaire?
Cette catégorie de logiciels malveillants et sournois concerne les virus qui permettent d’accéder à distance à votre appareil depuis n’importe où dans le monde. Ils ont été spécialement conçus pour l’extraction de données financières et, dans certains cas, pour exfiltrer des fonds de votre compte bancaire en utilisant votre propre téléphone.
Parmi les célèbres chevaux de Troie bancaires précédents, on peut citer Anatsa, TrickBot, ZLoader, Dridex et bien d’autres. Certains de ces chevaux de Troie bancaires avaient même la capacité de former d’énormes botnets. Ils se sont avérés particulièrement nuisibles et ont été à l’origine de certaines des plus grandes campagnes de logiciels malveillants jamais vues.
La première étape du déploiement d’un cheval de Troie bancaire consiste à l’installer directement sur l’appareil. Or les appareils mobiles sont équipés de logiciels antivirus intégrés et les fournisseurs d’applications sont activement surveillés – un défi non négligeable pour les pirates. Dans les arnaques à l’emploi comme celles décrites ci-dessus, le recruteur dirigera généralement la victime vers une page Web où il lui sera demandé de télécharger directement le dossier de candidature. Cependant, dans d’autres exemples, le virus viendra directement depuis l’App Store ou arrivera par courrier électronique ou par SMS en pièce jointe.
Une fois sur l’appareil, le logiciel malveillant l’infecte. Il établit une connexion avec le serveur Web de l’attaquant, envoyant des informations concernant le téléphone et les applications de sa victime. Ensuite, lorsque la victime tente d’ouvrir une application bancaire, le logiciel malveillant affiche un modèle de phishing sur l’application légitime. Cela peut également fonctionner sur certains sites Web accessibles par le navigateur. Ce modèle de phishing n’est pas l’application ou le site Web officiel, mais plutôt une page HTML identique hébergée par l’attaquant. Les formulaires de connexion par e-mail et mot de passe sont en fait des enregistreurs de frappe (keylogger) et toutes les informations saisies dans ces formulaires sont renvoyées directement au serveur de l’attaquant.
Dans certains cas, on peut utiliser sous l’overlay (la superposition) des chevaux de Troie bancaires pour exécuter des commandes à distance qui permettent à l’attaquant d’appuyer et balayer votre écran. Il se connecte à votre compte bancaire et transfère votre argent juste sous votre nez.
La nouvelle variante d’Antidot «AppLite» prend en charge pas moins de 171 applications financières, notamment des institutions bancaires, des applications liées aux crypto-monnaies et bien plus encore, dans toute une série de langues.
Comment vous protéger
Ces packages de logiciels malveillants dépendent fortement de deux choses: la sécurité du système d’exploitation et le manque de préparation de la victime.
Pour le premier point, AppLite et les chevaux de Troie similaires utilisent une multitude de failles dans le système d’exploitation Android afin de brouiller leur code. Ces failles, une fois détectées, peuvent être corrigées par les développeurs et ces correctifs livrés via Internet sur votre appareil sous forme de mise à jour. Mais si vous ne mettez pas à jour votre appareil, vous ne recevrez pas ces correctifs. Cela signifie que vous resterez vulnérable à ces attaques et, si vous en êtes victime, l’attaquant aura un accès illimité à toutes vos données. Il est donc évidemment impératif de garder à jour le système d’exploitation de son téléphone ainsi que toutes les applications.
Concernant le deuxième point, on espère que cet article vous aura déjà fait prendre davantage conscience des dangers auxquels sont exposés les utilisateurs de mobiles en 2025. Si vous vous trouvez dans une situation où vous partagez vos informations – demandes d’emploi, de logement ou de location, ou tout simplement pour une enquête – sans y faire très attention, mettez-vous sur pause. Réfléchissez avec qui vous partagez vos données et à ce qu’il pourrait en faire. Demandez-vous à quel point elles sont en sécurité entre les mains d’autres personnes ou si vous avez tendance à trop partager. Pensez à ne fournir vos informations qu’à des entreprises de confiance via des canaux de confiance.
Conclusion
Les pirates informatiques essaieront toujours de vous piéger lorsque vous baissez la garde. Que ce soit par le biais de candidatures à un emploi lorsque nous «balançons» littéralement nos CV, ou à un autre moment – on vous a peut-être proposé l’emploi de vos rêves ou vous vous retrouvez désespérément à la recherche d’un emploi et dans une situation difficile – ne vous jetez pas sur les opportunités sans faire preuve de vigilance. Assurez-vous de l’identité de la personne à qui vous parlez, de la validité de l’offre d’emploi et de la sécurité de votre canal de communication avec cette personne. Si vous faites une erreur et qu’on vous incite à télécharger quelque chose, ne vous inquiétez pas. Votre appareil peut être capable de vous défendre si vous avez joué la prudence en mettant à jour vos applications. Mais pour éviter d’en arriver là, prenez conscience des risques et des dangers en ligne afin de mieux reconnaître et éviter les attaques de mishing. Restez toujours sur vos gardes!
Les informations contenues dans cet article sont fournies à titre informatif uniquement. Elles ne constituent pas des conseils professionnels et ne sont pas garanties comme étant exactes, complètes, fiables, à jour ou sans erreur.
Sources
https://www.zimperium.com/blog/applite-a-new-antidot-variant-targeting-mobile-employee-devices/
https://www.securitymagazine.com/articles/101246-report-new-cyber-scam-campaign-targets-job-seekers
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates/
https://www.whiteblueocean.com/newsroom/the-state-of-banking-droppers-in-2024/
https://www.whiteblueocean.com/glossary/
https://www.kaspersky.com/resource-center/threats/trickbot
https://www.cisa.gov/news-events/cybersecurity-advisories/aa19-339a
https://blogs.microsoft.com/on-the-issues/2022/04/13/zloader-botnet-disrupted-malware-ukraine/