Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • CopybaraCopybara, un cheval de Troie bancaire Android, cible les utilisateurs de services bancaires mobiles en Italie et en Espagne. VMX Labs a découvert que le logiciel malveillant s'attaque à 781 applications mobiles, principalement des applications bancaires, et qu'il est capable de d'effectuer des attaques par recouvrement sur au moins 425 d'entre elles.

  • CrocodilusCrocodilus, un trojan bancaire Android sophistiqué récemment découvert, cible des institutions financières en Espagne et en Turquie, ainsi que plusieurs portefeuilles de crypto-monnaies. Depuis son apparition dans le paysage des menaces mobiles, il utilise des techniques avancées telles que le contrôle à distance, les superpositions d'écran noir et l'enregistrement de l'accessibilité. En outre, il intègre les principales fonctionnalités des chevaux de Troie bancaires, notamment les attaques par superposition et l'enregistrement des frappes, afin de faciliter une la prise de contrôle totale de l'appareil.

  • DocSwap, un logiciel espion pour Android, cible les utilisateurs en Corée du Sud en se faisant passer pour une application d'authentification de consultation de documents. Il a été attribué au groupe APT nord-coréen Kimsuky.

  • KoSpy, un nouveau logiciel espion pour Android attribué au groupe de cyberespionnage parrainé par l'État ScarCruft (également connu sous le nom d'APT37), cible principalement les utilisateurs de Corée du Sud. Il est distribué via le Google Play Store et des boutiques d'applications tierces comme APKPure, déguisé en applications utilitaires telles que File Manager, Software Update Utility et Kakao Security, afin d'infecter ses cibles. KoSpy peut voler de nombreuses informations personnelles et enregistrer les frappes au clavier en abusant du service d'accessibilité d'Android.

  • Lucid, une plateforme très sophistiquée de Phishing-as-a-Service (PhAAS) exploitée par des acteurs de la menace parlant chinois, cible 169 organisations dans 88 pays. Avec 129 instances actives et plus de 1 000 domaines enregistrés, elle figure parmi les plateformes de PhAAS les plus importantes, aux côtés de Darcula et Lighthouse. Son modèle évolutif, basé sur l'abonnement, permet aux cybercriminels de lancer des campagnes de phishing à grande échelle visant à recueillir des informations sur les cartes de crédit à des fins de fraude financière. La plateforme dispose d'un système d'attaque automatisé qui déploie des sites web d'hameçonnage personnalisables, principalement distribués par le biais de leurres basés sur des SMS. Pour maximiser l'efficacité, Lucid exploite les technologies iMessage d'Apple et RCS d'Android, ce qui permet de contourner les filtres anti-spam traditionnels et d'améliorer considérablement les taux d'envoi et de réussite.

  • La fraude par relais NFC est en augmentation aux États-Unis. Les forces de l'ordre d'au moins deux États américains ont arrêté séparément des ressortissants chinois accusés d'avoir commis une nouvelle forme de fraude de type "tap-to-pay". une nouvelle forme de fraude "tap-to-pay" à l'aide d'appareils mobiles. à l'aide d'appareils mobiles.

  • Le cheval de Troie bancaire OctoV2 Le cheval de Troie bancaire Android OctoV2 est distribué via des sites web de phishing qui qui se font passer pour la plateforme d'IA DeepSeek DeepSeek.

  • Les escroqueries au stationnement sont de plus en plus fréquentes aux États-Unis. Les escrocs utilisent désormais des URL de redirection Google (par exemple, google.com/url?q={ URL d'hameçonnage}) pour contourner les protections contre l'hameçonnage de l'application Messages d'Apple. Cette tactique permet de faire passer des liens malveillants pour des liens dignes de confiance et d'inciter les utilisateurs à visiter de faux sites web d'amendes de stationnement conçus pour voler des informations personnelles et financières.

  • PJobRAT, un cheval de Troie d'accès à distance (RAT) Android identifié pour la première fois en 2019, a été signalé en 2021 comme ayant ciblé le personnel militaire indien en se faisant passer pour des applications de rencontre et de messagerie populaires. Depuis lors, le logiciel malveillant est resté largement indétecté, jusqu'à ce qu'une campagne récente fasse surface, ciblant des utilisateurs taïwanais. PJobRAT est capable d'exfiltrer des messages SMS, des listes de contacts, des données d'appareils et d'applications, des documents et des fichiers multimédias à partir d'appareils infectés.

  • Les plateformes d'investissement en crypto-monnaies frauduleuses utilisent des systèmes pyramidaux pour escroquer les victimes via des sites web et des applications mobiles. La campagne cible principalement les utilisateurs des régions d'Afrique de l'Est et d'Asie en se faisant passer pour des marques connues, des plateformes de crypto-monnaies et des organisations populaires.

  • Transparent Tribe, un groupe de menaces persistantes avancées (APT) basé au Pakistan, distribue des logiciels espions par l'intermédiaire d'un faux site web de l'India Post. Le logiciel espion incite les victimes à installer une application de casino qui fonctionne d'abord normalement, mais qui les invite rapidement à entrer leurs données de paiement pour continuer.

  • TsarBot est un cheval de Troie bancaire Android récemment découvert qui cible plus de 750 applications dans le monde, notamment dans les domaines de la banque, de la finance, des crypto-monnaies et du commerce électronique.. Il se propage par le biais de sites web de phishing qui se font passer pour des plateformes financières légitimes et s'installe via un dropper déguisé en Google Play Services. Une fois actif, TsarBot utilise des attaques superposées pour voler des informations sensibles telles que les identifiants bancaires, les détails des cartes de crédit et les données de connexion. Il peut également enregistrer et contrôler à distance l'écran de l'appareil, en simulant des actions de l'utilisateur telles que le glissement, le tapotement et la saisie d'informations d'identification, tout en dissimulant son activité à l'aide d'une superposition noire. La communication avec son serveur de commande et de contrôle (C2) est assurée par WebSocket via plusieurs ports, ce qui lui permet de recevoir des commandes, d'exfiltrer des données volées et d'effectuer des fraudes sur l'appareil.

  • VaporVapor, une campagne de logiciels malveillants Android à grande échelle impliquant des centaines d'applications malveillantes distribuées par l'intermédiaire du Google Play Store et de plateformes tierces, vise principalement les objectifs suivants la fraude publicitaire et le vol de données d'identification. Au moins 331 applications Android malveillantes ont été identifiées, atteignant collectivement plus de 60 millions de téléchargements. Ces applications sont conçues pour échapper à la détection en masquant leurs icônes dans le lanceur, une technique qui serait restreinte dans les nouvelles versions d'Android. Si nombre d'entre elles conservent des fonctionnalités de base pour paraître légitimes, elles peuvent afficher des publicités hors contexte sur d'autres applications au premier plan, contournant ainsi les exigences habituelles en matière d'autorisation. Certaines variantes vont plus loin en tentant d'hameçonner les identifiants des utilisateurs, y compris les données de connexion et les données de carte de crédit. Ces applications peuvent notamment se lancer automatiquement sans interaction de l'utilisateur, en exploitant une vulnérabilité qui devrait être techniquement bloquée dans Android 13 et les versions ultérieures.

  • .NET MAUI, Cadre de développement d'applications multiplateformes de Microsoft en C# pour Android, iOS, Windows et macOS (successeur de Xamarin), est utilisé de manière abusive par les cybercriminels pour développer des logiciels malveillants. Il agit comme un type spécial d'empaqueteur, permettant aux logiciels malveillants d'échapper à la détection.

Vulnérabilités et correctifs

  • Une vulnérabilité de confusion d'adresse dans le réseau Find My permet à un attaquant distant de transformer n'importe quel appareil compatible Bluetooth en un traceur de type AirTag. Cet exploit, connu sous le nom de nRootTagpermet de suivre la localisation en temps réel en utilisant plus de 1,5 milliard d'iPhones dans le monde comme relais involontaires pour l'attaquant. Apple a résolu le problème dans la version iOS 18.2 d'iOS 18.2.

  • Google a corrigé deux vulnérabilités activement exploitées : une faille dans le composant Framework (CVE-2024-43093) et une vulnérabilité du noyau (CVE-2024-50302), qui conduisent toutes deux à une escalade des privilèges. Ces correctifs ont été inclus dans les niveaux de correctifs de sécurité d'Android 2025-03-01 et 2025-03-05.

  • Apple a corrigé une vulnérabilité activement exploitée (CVE-2025-24201) dans la version iOS 18.3.2 . Cette faille permet à des contenus web malveillants d'échapper au bac à sable des contenus web et a été utilisée dans le cadre d'une attaque très sophistiquée visant des individus spécifiques.

  • WhatsApp a corrigé une vulnérabilité de type "zero-click", "zero-day", exploitée pour installer Graphite, un logiciel espion mercenaire développé par Paragon Solutions. qui a été exploitée pour installer Graphite, un logiciel espion mercenaire développé par Paragon Solutions. Cette faille a permis aux attaquants de compromettre des appareils sans aucune interaction avec l'utilisateur et a été utilisée dans des opérations de surveillance ciblée contre des journalistes et des membres de la société civile.

Rapports de renseignement

  • Anubis, Necro et AhMyth ont été les trois principales menaces de logiciels malveillants mobiles en février, selon le rapport Malware Spotlight de Check Point. de Check Point.

  • Kaspersky a déclaré avoir intercepté environ 33,3 millions d'attaques en 2024 impliquant des logiciels malveillants, des logiciels publicitaires et d'autres formes de logiciels mobiles indésirables. Les logiciels publicitaires étaient les plus répandus, représentant 35 % de toutes les détections. L'entreprise a identifié 1,1 million de paquets d'installation malveillants et potentiellement indésirables, dont près de 69 000 classés comme trojans bancaires.

  • Le rapport du Groupe-BI rapport explique comment la fraude par échange de cartes SIM évolue au Moyen-Orient, les cybercriminels ayant de plus en plus recours aux sites de phishing, à l'ingénierie sociale et à des tactiques hybrides pour contourner les mesures de sécurité des télécommunications.

  • Le Citizen Lab a publié un rapport complet rapport sur les activités mercenaires de Paragon Solutions en matière de logiciels espions, et plus particulièrement sur son outil phare, Graphite. Sur la base d'une analyse de l'infrastructure, le rapport identifie l'Australie, le Canada, Chypre, le Danemark, Israël et Singapour comme des clients gouvernementaux présumés du logiciel espion.

  • Le rapport de Zimperium de Zimperium indique qu'un appareil Android sur 400 (0,25 %) est rooté et qu'un appareil iOS sur 2 500 (0,04 %) est jailbreaké.

  • Le rapport Rapport Kaspersky sur les cybermenaces financières en 2024 révèle que près de 248 000 utilisateurs ont été confrontés à des logiciels malveillants bancaires mobiles en 2024 - une augmentation alarmante de près de 3,6 fois par rapport à 2023. La famille de logiciels malveillants Android la plus active était Mamont, représentant 36,7 % de toutes les attaques de logiciels malveillants bancaires mobiles. Parmi les régions touchées, les utilisateurs de Turquie ont été les plus ciblés.

  • Au premier trimestre 2025, Doctor Web a rapporté une augmentation continue de l'activité des logiciels malveillants mobiles, les menaces Android demeurant la cible principale. Le rapport souligne l'augmentation de l'activité des logiciels publicitaires et des chevaux de Troie bancaires, ainsi que la découverte de plusieurs dizaines de nouvelles menaces sur le Google Play Store.