Il y a quelques mois, l'équipe de réponse aux incidents de sécurité informatique du secteur financier polonais (CSIRT KNF) a publié une analyse détaillée de HOOK, une application mobile malveillante relativement récente qui cible principalement les institutions financières en Pologne et qui s'est maintenant répandue dans le monde entier.

Fonctionnant comme un Malware-as-a-Service complet et haut de gamme, cette menace a donné l'occasion à VMX Labs d'expliquer pourquoi de telles méthodes d'attaque peuvent faire des ravages sur les applications mobiles qui ne disposent pas d'une sécurité intégrée de niveau professionnel.

La raison pour laquelle le logiciel malveillant HOOK est une excellente illustration de la nécessité d'une sécurité in-app réside dans son vaste arsenal de capacités permettant de déjouer les protections tierces. Non seulement il trouve et même supprime complètement les antivirus et les protections des points d'extrémité sur les appareils, mais il utilise également des superpositions complexes et un grand nombre d'attaques pour finalement mettre le pied dans la porte d'institutions financières bien connues, telles que les grandes marques bancaires.

HOOK est une superposition préparée à l'avance qui peut être personnalisée pour 24 applications spécifiques d'entreprises polonaises, notamment des applications populaires de banque mobile, de commerce électronique et de services publics. Des centaines d'autres sont également disponibles pour les entreprises situées en dehors de la Pologne.

HOOK est très dangereux ; il peut rendre inutiles les antivirus et la protection des points d'extrémité. En outre, il peut empêcher l'installation de ces types d'outils de sécurité à n'importe quel moment de l'attaque, ce qui fait gagner un temps précieux à l'attaque HOOK pour rechercher méticuleusement les applications qu'elle cible. 

Les outils traditionnels de protection des points finaux et d'antivirus constituent toujours d'excellentes lignes de défense, et même des lignes de défense nécessaires. Cependant, en raison de leur conception autonome, les applications sont intrinsèquement sensibles aux attaques de ces frameworks. Par conséquent, une couche de défense supplémentaire devient essentielle.

Exemples d'attaques utilisées par le logiciel malveillant HOOK

Pensez à logiciel malveillant HOOK comme un cheval de Troie cheval de Troie bancaire qui utilise des centaines de superpositions de lancement créées méthodiquement comme outil principal tout en exploitant un grand nombre d'attaques annexes.

La superposition s'ouvre au-dessus de l'application mobile cible légitime et affiche, par exemple, un écran de connexion qui ressemble à s'y méprendre à l'écran réel. La victime saisit un nom d'utilisateur et un mot de passe, et les fonctions d'enregistrement et d'injection de clés de HOOK volent immédiatement les informations. HOOK cache également les clics et exécute les clics pour les actions requises. 

Parmi ses outils d'attaque, on peut citer

  • Redirection des appels vocaux
  • Accès au système de fichiers local
  • Contrôler les messages textuels
  • Lecture de la position GPS
  • Contrôle des processus
  • Découverte et désinstallation de logiciels
  • Contrôle de la configuration de la carte SIM
  • Exploitation des problèmes liés aux microprogrammes
  • Téléchargements supplémentaires de logiciels malveillants
  • Lire, écrire et envoyer des messages WhatsApp

Comment fonctionne le logiciel malveillant HOOK

Le CSIRT KNF a indiqué qu'une partie de ces attaques exploitait le service d'accessibilité de l'appareil mobile, une fonction d'Android qui permet aux utilisateurs handicapés d'utiliser l'appareil avec succès. HOOK exploite ces services afin d'obtenir la persistance et d'escalader les autorisations selon les besoins en envoyant des onglets, des balayages et des frappes de touches aux contrôles appropriés et en plaçant des superpositions au-dessus des contrôles pour cacher l'activité malveillante, c'est-à-dire que l'application malveillante demande de nouvelles autorisations et les accepte simplement en cliquant sur des boutons d'écran par l'intermédiaire du service. 

Il fournit également des moyens d'intercepter les SMS ainsi que les authentificateurs Google et dispose d'un proxy inverse afin que les données sniffées puissent être utilisées de manière abusive et permettre aux attaquants d'abuser de ces données en temps réel. La possibilité de lire, d'écrire et d'envoyer des messages dans WhatsApp est également remarquable, car il s'agit d'un nouvel outil d'attaque, même pour les développeurs de HOOK eux-mêmes.

Il est clair qu'une fois que HOOK a mis ses sabots dans l'appareil, le seul obstacle restant est de surmonter les défenses des applications qui contiennent des protections dans leur code. Il n'est presque jamais utile pour un attaquant d'essayer de casser une application qui est fondamentalement sécurisée et qui se surveille elle-même. Résultat ? La seule façon pour HOOK de tenter d'attaquer l'une des applications ciblées qui utilise une protection in-app est de supprimer cette application. L'attaque devient donc inutile. L'application ciblée ne serait plus disponible pour servir d'intermédiaire au crime. Pourquoi brûlerait-on une banque si l'on a l'intention de la cambrioler ?

Désormais disponible en location sur le dark web pour environ 7 000 USD par mois, les fabricants de HOOK considèrent qu'ils donnent à leurs "clients" la possibilité de voler des sommes d'argent extrêmement importantes. Et il est clair que de nombreux clients sont d'accord pour dire que la grosse dépense initiale en vaut la peine, car ils savent que la majorité des applications bancaires restent vulnérables.

Quel est l'intérêt pour les criminels ?

HOOK propose de nouveaux exploits pour les dernières versions d'Android. En d'autres termes, il est vraiment à jour par rapport à certaines alternatives moins chères qui coûtent moins de la moitié, voire du quart du prix. En outre, il existe une pléthore de possibilités de personnalisation qui sont déjà disponibles via HOOK ou qui peuvent être facilement proposées avec le "package" MaaS standard.

Un grand nombre d'outils d'attaque personnalisés ciblent des organisations de premier plan, ce qui élargit considérablement le nombre de victimes potentielles du simple fait du nombre de téléchargements et d'utilisateurs de l'application mobile de l'organisation.

Comment le logiciel malveillant HOOK peut être endigué

L'approche complexe et globale de l'attaque, associée à la possibilité de faire de nombreuses victimes, fait de HOOK un type de logiciel malveillant à surveiller de près. Et Google est certainement à l'affût, puisque l'entreprise a annoncé ce mois-ci le lancement de son nouveau programme Google Mobile Vulnerability Rewards Program (Mobile VRP). Cette nouvelle initiative de récompense des bogues, qui offre des paiements aux chercheurs qui identifient des failles dans des applications Android spécifiques, est un autre signe que la sécurité dans les applications n'est plus une considération, mais un élément essentiel de la sécurité. Nous saluons et soutenons les efforts de Google.

Comme nous l'avons indiqué précédemment, les mesures de sécurité traditionnelles telles que les outils antivirus et la sécurité des terminaux sont utiles et ne doivent pas être abandonnées. Cependant, si vous êtes une institution financière qui cherche à prévenir une attaque HOOK, vous devez envisager de déployer des contre-mesures de cybersécurité supplémentaires, à la fois dans l'application mobile et sur la surface d'attaque mobile externe. 

Verimatrix XTD est l'une de ces solutions, qui offre une protection abordable et conviviale des applications mobiles et de l'écosystème mobile. Grâce à son approche sans agent et sans code, elle permet un déploiement facile et sans douleur, permettant aux clients bancaires de surveiller une surface d'attaque plus large, y compris les appareils non gérés des consommateurs.

Verimatrix XTD détecte efficacement les attaques actives au sein de l'application et réagit rapidement, minimisant ainsi les risques de dommages. Il surveille également le périmètre des appareils connectés, en analysant les données et en prédisant les attaques. Les entreprises peuvent ainsi protéger leurs applications mobiles de manière proactive :

  • Attaques par superposition
  • Attaques contre la chaîne d'approvisionnement
  • Attaques par reconditionnement
  • Attaques par livraison de charges utiles
  • Attaques de géo-spofing


Armés des offres de sécurité complètes de Verimatrix XTD et de l'assistance d'experts, les professionnels de la sécurité de tous les secteurs peuvent atténuer efficacement les risques associés aux vulnérabilités des applications mobiles et sécuriser leurs actifs numériques.