Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • Une copie de l'application mobile LastPass a été trouvée dans l'App Store d'Apple. L'application application frauduleuse s'appelle LassPass Password Manager et a déjà été retirée de la boutique officielle. Les applications de gestion de mots de passe stockent les informations d'identification des utilisateurs et sont donc la cible privilégiée des cybercriminels.
  • La fonction AirDrop d'Apple aurait été décodée par le Beijing Wangshendongjian Judicial Appraisal Institute. Le laboratoire de police scientifique a conçu pour les autorités chinoises un outil qui qui déchiffre le numéro de téléphone et l'adresse électronique de l'expéditeur AirDrop de l'expéditeur d'AirDrop à partir du journal de bord de l'iPhone du destinataire. Il utilise des tables arc-en-ciel pour révéler les informations de l'expéditeur.
  • L'application mobile Fake Scameter est utilisée pour escroquer les Hongkongais. Ironiquement, l'application originale est conçue pour aider le public à identifier les escroqueries.
  • Voleur d'iPhone révèle ses techniques pour voler des téléphones et s'introduire s'introduire dans les applications bancaires.
  • Les applications iOS peuvent abuser des notifications push iOS n'autorise pas les applications à fonctionner en arrière-plan, mais leur permet de traiter les notifications push pendant un court laps de temps avant de les présenter aux utilisateurs. Il a été découvert que certaines applications gourmandes en données utilisent ce laps de temps pour collecter et communiquer des données, qui peuvent être utilisées pour relever les empreintes digitales et suivre les utilisateurs, même s'ils n'utilisent pas du tout l'application.
  • MavenGate est une attaque de la chaîne d'approvisionnement attaque de la chaîne d'approvisionnement qui peut infecter les applications Java et Android par le biais de dépendances non maintenues et abandonnées. Toute bibliothèque est liée à un domaine basé sur son nom dans les produits Maven, y compris le célèbre outil de construction Gradle. À l'expiration d'un domaine de projet, un acteur malveillant peut réenregistrer ce domaine et s'approprier le projet. Par conséquent, une version malveillante de la bibliothèque peut être distribuée en tant que nouvelle version ou remplacer une version existante.
  • MoqhaoMoqhao, également connu sous le nom de XLoader, est un logiciel malveillant Android déployé par la campagne Roaming Mantis. La dernière variante dispose d'une nouvelle capacité. Elle se lance automatiquement après l'installation sans interaction de l'utilisateur. Cette variante cible les utilisateurs d'Android principalement au Japon et en Corée du Sud, mais aussi en France, en Allemagne et en Inde. Elle attaque les victimes en en diffusant des messages d'hameçonnage pour obtenir des gains financiers.
  • Les escroqueries à la romance ont augmenté de 22 % l'année dernière. En moyenne, 6 937 livres sterling ont été volées par victime. Les médias sociaux et les applications de rencontre sont généralement utilisés par les escrocs pour attirer leurs victimes.
  • L'attaque par injection de touches non authentifiées dans Bluetooth peut déclencher une réinitialisation d'usine et effacer à distance les données d'un téléphone portable. La vulnérabilité Bluetooth qui permet cette attaque a été corrigée uniquement pour les appareils Android et iOS les plus récents.
  • Deux compagnies d'assurance américaines ont informé 66 000 personnes que leurs informations personnelles ont pu être volées lors d'attaques par échange de cartes SIM. L'authentification à deux facteurs basée sur une application protège contre cette attaque.
  • VajraSpyVajraSpy, un logiciel espion pour Android développé par l'APT Patchwork, vole des contacts, des fichiers, des journaux d'appels et des messages SMS. Certaines variantes avancées peuvent également voler des messages WhatsApp et Signal, enregistrer des appels et prendre des photos.. Patchwork distribue des applications trojanisées via le Google Play Store et des boutiques d'applications tierces pour cibler les utilisateurs pakistanais.
  • Wizz appune application de médias sociaux pour adolescents comptant environ 20 millions d'utilisateurs actifs, a été retirée de l'App Store d'Apple et du Play Store de Google en raison de escroqueries de sextorsion financière visant ses utilisateurs.

Vulnérabilités et correctifs

  • La CISA ajoute CVE-2023-41990 à son catalogue de vulnérabilités exploitées connues. Cette vulnérabilité a été exploitée dans le cadre de la campagne Operation Triangulation depuis 2019, et elle a finalement été découverte lorsque les chercheurs de Kaspersky ont été pris pour cible l'année dernière. Apple l'a atténuée en améliorant la gestion du cache.
  • Les vulnérabilités du micrologiciel sont exploitées par des sociétés de criminalistique pour extraire des informations d'appareils Android qui ne sont pas au repos. GrapheneOS a déjà signalé ces vulnérabilités au programme Android Vulnerability Reward.
  • LeftoverLocals (CVE-2023-4969) permet de récupérer les données d'un autre processus sur la mémoire du processeur graphique (GPU). Les GPU Apple, Qualcomm et AMD sont concernés. Les applications GPU, telles que les grands modèles de langage ou les applications d'apprentissage automatique, sont menacées lorsqu'elles sont exécutées sur un GPU vulnérable.
  • Apple a corrigé une faille zero-day activement exploitée (CVE-2024-23222) dans la version iOS 17.3 et iOS 16.7.5 . Cette faille est un type de vulnérabilité de confusion qui pourrait conduire à l'exécution de code arbitraire. Elle a été corrigée avec des vérifications améliorées. Apple a également rétroporté les correctifs pour deux failles de type "zero-days" activement exploitées (CVE-2023-42916 et CVE-2023-42917) pour les appareils plus anciens dans la version iOS 15.8.1 de l'iOS 15.8.1.
  • La CISA ajoute CVE-2022-48618 à son catalogue de vulnérabilités exploitées connues. Il s'agit d'une faille du noyau qui conduit à un contournement de l'authentification par pointeur. Elle a pu être exploitée sur des versions d'iOS antérieures à iOS 15.7.1.
  • Il a été constaté que plusieurs fabricants (OEM) signaient leurs modules APEX avec les clés privées de test qui sont accessibles au public dans le dépôt de sources du projet Android Open Source (AOSP). Cela permet à n'importe qui de forger une mise à jour pour ces modules. Niveau du correctif de sécurité 2023-12-05 ou plus récent corrige le problème (CVE-2023-45779).

Rapports de renseignement

  • Le rapport du Network Contagion Research Institute, en collaboration avec le Miller Center de l'université Rutgers, suggère que l'application TikTok supprime ou amplifie des contenus dans l'intérêt du gouvernement chinois.
  • Anubis, AhMyth et Hiddad sont les trois principaux malwares mobiles en décembre 2023, selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
  • Le rapport du rapport du Network Contagion Research Institute (NCRI) montre que les escroqueries par sextorsion financière sont les cybercrimes ciblant les mineurs qui connaissent la croissance la plus rapide aux États-Unis, au Canada et en Australie. Les escrocs contactent les enfants par le biais de faux profils sur les applications de médias sociaux et utilisent des outils avancés tels que l'IA générative pour les tromper.
  • Le rapport Doctor Web de décembre 2023 indique que les trojans publicitaires de la famille Android HiddenAds ont été les plus détectés, tandis que les activités des trojans bancaires Android (1 %) et des logiciels espions (10 %) ont légèrement diminué en décembre. Quelques applications malveillantes ont également été trouvées dans le Google Play Store.
  • Le rapport rapport d'Access Now révèle qu'au moins 35 personnes en Jordanie ont été ciblées par le tristement célèbre logiciel espion Pegasus depuis 2019.
  • Le rapport du rapport du groupe d'analyse des menaces de Google (TAG) traite en profondeur des fournisseurs de solutions de surveillance commerciale. Ces fournisseurs sont à l'origine de la moitié des exploits connus de type "zero-day" ciblant les produits Google et les appareils Android.