Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • AnatsaAnatsa, un cheval de Troie bancaire Android également connu sous le nom de TeaBot, s'est étendu à de nouveaux pays lors d'une récente campagne. Outre le Royaume-Uni, l'Allemagne et l'Espagne, Anatsa est désormais présent en République tchèque, en Slovaquie et en Slovénie. Il abuse du service d'accessibilité d'Android et exécute des transactions frauduleuses sur l'appareil de la victime.
  • GoldPickaxeGoldPickaxe, la dernière variante de la famille de chevaux de Troie bancaires Android Golddigger du groupe de menaces GoldFactory, est devenue plus puissante avec la capacité de de cibler à la fois les plateformes Android et iOS. L'acteur de la menace a développé deux versions différentes du malware pour pouvoir attaquer les utilisateurs de services bancaires mobiles en Thaïlande et probablement au Vietnam, quelle que soit la plateforme. Il présente notamment des techniques émergentes permettant de contourner la nouvelle mesure de sécurité de vérification biométrique faciale utilisée dans les transactions bancaires en Thaïlande. La version Android du cheval de Troie abuse du service d'accessibilité et effectue des attaques par superposition.
  • I-Soonune société sous-traitante des agences d'État chinoises pour les campagnes de piratage et d'espionnage à l'étranger, a été victime d'une faille de sécurité. Une riche collection de documents internes montrant les services offerts par l'entreprise technologique, y compris l'espionnage des appareils Android et iOSa fait l'objet d'une fuite.
  • JokerJoker, un RAT Android également connu sous le nom de Copybara, a été utilisé dans une campagne d'attaque active ciblant l'Espagne, l'Italie et le Royaume-Uni. Les victimes sont dirigées vers un site web d'hameçonnage usurpant l'identité de banques célèbres, et elles chargent latéralement une fausse application bancaire à l'aide de techniques d'ingénierie sociale de type smishing et vishing. Cette application contient le cheval de Troie Joker et réalise des fraudes sur l'appareil (ODF), qui ne laissent pas de traces de risque traditionnelles et posent un véritable défi aux systèmes anti-fraude des institutions financières. Il abuse du service d'accessibilité d'Android et exécute des attaques standard telles que l'overlay, le keylogging et la prise de contrôle à distance (VNC)..
  • Applications de chatbot relationnelde relations, alimentés par de grands modèles de langage (LLM), sont mauvais pour la protection de la vie privée.
  • SamecoinSamecoin, une campagne d'attaque qui trompe les citoyens israéliens en se faisant passer pour la Direction nationale israélienne de la cybernétique, distribue une application Android malveillante et efface les téléphones portables des victimes.
  • Les applications pour casques de ski et de vélo intelligents d'une marque populaire présentent une simple défaut de sécurité qui expose les données de localisation en temps réel et les conversations audio de leurs utilisateurs.
  • SpyNote Le RAT Android se propage via de fausses applications de vidéoconférence usurpant l'identité de Google Meet, Skype et Zoom dans le cadre d'une nouvelle campagne d'attaque. Tous les sites web utilisés pour la distribution des fausses applications étaient hébergés sur la même adresse IP et tout le contenu était rédigé en russe, ce qui donne un aperçu des personnes ciblées par cette campagne.
  • Teabot, un cheval de Troie bancaire Android également connu sous le nom d'Anatsa, a augmenté son activité dans plusieurs pays européens. Il se propage par le biais d'une application dropper dans le Google Play Store et réalise des fraudes de type une fraude par prise de contrôle de compte (ATO) pour voler ses victimes en abusant des permissions d'accessibilité.
  • L'attaque VoltSchemer L'attaque VoltSchemer démontre une nouvelle façon d'injecter des commandes vocales inaudibles. d'injecter des commandes vocales inaudibles dans l'assistant vocal d'un smartphone en charge en manipulant simplement la source d'énergie du chargeur sans fil.

Vulnérabilités et correctifs

  • Le client Wi-Fi open-source (wpa_supplicant) sur tous les appareils Android présente une faille d'authentification (CVE-2023-52160) qui permet à une victime d'être incitée à se connecter à un clone frauduleux d'un réseau Wi-Fi d'entreprise.
  • L'application d'automatisation par défaut d'Apple, Shortcuts, présente une vulnérabilité (CVE-2024-23204) qui permet à un pirate d'accéder à des données sensibles sans demander d'autorisation. Elle a été corrigée dans la version iOS 17.3 d'iOS 17.3.
  • Apple a corrigé deux failles de sécurité activement exploitées (CVE-2024-23225 et CVE-2024-23296).CVE-2024-23225 et CVE-2024-23296) dans la version iOS 17.4 et iOS 16.7.6 . Ces deux vulnérabilités permettent à un attaquant disposant de capacités arbitraires de lecture et d'écriture du noyau de contourner les protections de la mémoire du noyau. Les deux problèmes ont été résolus avec une validation améliorée.
  • La CISA ajoute CVE-2023-21237 à son catalogue de vulnérabilités exploitées connues. Il s'agit d'une faille dans le composant du cadre Android qui conduit à la divulgation d'informations sensibles. Elle a été corrigée en juin 2023.

Rapports de renseignement

  • Le rapport de Meta sur les menaces adverses (Adversarial Threat Report Q4 2023) partage des informations détaillées sur les opérations des huit sociétés de surveillance pour compte d'autrui ciblant les utilisateurs de Windows, Android et iOS. Leurs logiciels espions mobiles peuvent exfiltrer diverses données (informations sur l'appareil, localisation, photos et médias, contacts, calendrier, courriels, SMS, médias sociaux et applications de messagerie) et contrôler les fonctionnalités du microphone, de l'appareil photo et des captures d'écran.
  • Anubis, AhMyth et Hiddad sont les trois principaux malwares mobiles en janvier 2024, selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
  • Le rapport de Kaspersky sur le paysage des menaces liées aux logiciels malveillants mobiles montre que ~33,8 millions d'attaques de logiciels malveillants, de logiciels publicitaires et de logiciels à risque ont été évitées en 2023. La menace la plus fréquente est le logiciel publicitaire, avec ~41 % des 1,3 million de paquets d'installation malveillants uniques ; les logiciels à risque viennent en deuxième position, et le cheval de Troie bancaire Android en troisième, avec ~27 % et ~12 %, respectivement.
  • Selon le rapport 2024 sur la cybersécurité de rapport 2024 de Checkpoint sur la cybersécuritéCheckpoint, Anubis (16 %), AhMyth (13 %) et Pandora (9 %) sont les trois principaux malwares mobiles mondiaux de 2023. Anubis était le leader dans la région EMEA avec une part de 22%, AhMyth dans l'APAC avec 21%, et Pandora dans les Amériques avec 26%.
  • Le groupe Insikt de The Recorded Future rapporte un nouveau réseau d'infrastructure de diffusion de logiciels espions mobiles Predator, utilisé par onze pays. Malgré les critiques publiques sur l'utilisation abusive, les changements minimes dans l'opération de surveillance Predator indiquent une menace permanente.
  • Le rapport de CloudSEK révèle l'opération de blanchiment d'argent menée par des cybercriminels chinois à travers le système bancaire indien grâce à un réseau de passeurs de fonds. Ce système de blanchiment d'argent à grande échelle est orchestré par une simple application Android.