Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • BadBazaar Logiciel espion Android, attribué au groupe APT GREF soutenu par la Chine, a été découvert dans des applications dans des applications Signal et Telegram trojanisées. L'application Signal trojanisée permet aux attaquants d'espionner les messages en reliant secrètement l'appareil de l'attaquant au compte de la victime, ce qui constitue une nouvelle technique inédite. Bien que le Google Play Store ait retiré les deux applications après la divulgation de la responsabilité, elles sont toujours disponibles dans le Samsung Galaxy Store, dans d'autres magasins d'applications et sur des sites web dédiés.
  • Les applications de bêta-test sont utilisées par les cybercriminels pour exfiltrer des informations personnelles identifiables (PII), accéder à des comptes financiers ou prendre le contrôle de l'appareil de la victime. Les applications bêta sont particulièrement attrayantes pour les criminels car elles ne sont généralement pas soumises aux processus d'approbation des magasins d'applications officiels. Il convient de préciser que les applications bêta sont soumises au même processus que les applications de production dans le Google Play Store.
  • CypherRAT et CraxsRAT est attaché à un homme en Syrie. Après que l'identité a été découverte, EVLF-DEV a annoncé qu'il avait décidé de ne pas poursuivre le développement de logiciels malveillants.EVLF-DEV a annoncé qu'il avait décidé de ne pas poursuivre le développement de logiciels malveillants. Cependant, d'autres acteurs ont déjà publié gratuitement des versions piratées de ces malwares Android, ce qui a entraîné une augmentation des cyberattaques propageant CypherRAT et CraxsRAT.
  • La reconnaissance faciale La reconnaissance faciale est couramment utilisée dans les applications mobiles pour vérifier l'identité, par exemple pour ouvrir un nouveau compte bancaire ou jouer à un jeu mobile avec des exigences d'âge minimum. Les chercheurs ont examiné dix-huit kits de développement logiciel (SDK) de reconnaissance faciale mobile et ont découvert que onze d'entre eux présentaient de graves failles de sécurité qui permettent l'usurpation d'identité en utilisant simplement des images statiques d'une victime.
  • De fausses applications bancaires mobiles ont été utilisées pour voler les informations d'identification de clients de banques iraniennes.
  • Un logiciel publicitaire invisible dans 43 applications Android, téléchargées collectivement 2,5 millions de fois, escroque les annonceurs en diffusant des publicités lorsque l'écran de l'appareil est éteint. Il s'agit principalement d'applications de diffusion de médias et d'actualités ciblant les utilisateurs coréens.
  • MMRat est un nouveau cheval de Troie bancaire Android ciblant les habitants de l'Asie du Sud-Est depuis fin juin 2023. Il abuse du service d'accessibilité d'Android et de l'API MediaProjection pour réaliser des fraudes bancaires.
  • SpyNote (également connu sous le nom de CypherRAT) est un logiciel espion Android bien connu doté de capacités de cheval de Troie d'accès à distance (RAT). Au cours de l'été 2023, les détections de SpyNote ont augmenté en Europe en raison des campagnes ciblant les clients de plusieurs grandes banques. Ces campagnes s'appuient principalement sur le phishing pour l'accès initial et l'utilisation abusive du service d'accessibilité d'Android pour obtenir des informations d'identification bancaire et des codes d'authentification à deux facteurs (2FA).

Vulnérabilités et correctifs

  • Des chercheurs ont découvert que, ces derniers temps, de nombreuses applications Android malveillantes, contenant des chevaux de Troie bancaires mobiles tels qu'Anatsa, Hydra, Cerberus et Alien, abusent du format Android BinaryXML pour passer les détections de logiciels malveillants du Google Play Store.. Ce phénomène est dû à une incohérence entre les outils d'analyse et le système d'exploitation Android. Les outils d'analyse considèrent les fichiers malveillants intentionnellement malformés comme non valides et les ignorent, alors que le système d'exploitation considère l'application comme valide dans son ensemble et la charge quand même. Google a annoncé que ses mécanismes de détection des logiciels malveillants ont été mis à jour pour mettre fin à cet abus.
  • L'application Sogou Input Method de Tencent, qui compte plus de 450 millions d'utilisateurs actifs mensuels, présente des vulnérabilités dans son protocole cryptographique conçu sur mesure pour protéger la transmission des frappes de clavier des utilisateurs. Ces vulnérabilités permettent aux oreilles indiscrètes de déchiffrer des données sensibles en transit. Elles sont corrigées dans la version 13.7 de l'application Windows, la version 11.26 de l'application Android et la version 11.25 de l'application iOS.

Rapports de renseignement

  • Le septième Rapport Google Cloud Threat Horizons explique comment les applications mobiles malveillantes échappent à Cloud Enterprise Detection grâce à la gestion des versions.
  • Anubis, SpinOk et AhMyth ont été les trois principaux malwares mobiles en juillet 2023, selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
  • Le ministère américain de la sécurité intérieure (DHS) a publié le rapport du rapport du Comité d'examen de la cybersécurité (CSRB) sur les attaques associées au groupe d'acteurs de la menace Lapsus$. Lapsus$ a réussi à pénétrer dans des entreprises technologiques de renom telles que Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft et Globant en s'emparant des comptes d'employés à l'aide d'échanges frauduleux de cartes SIM. L'étude montre que les mécanismes d'authentification multifactorielle (MFA) basés sur les messages courts (SMS) et la voix sont plus faciles à déjouer pour les criminels que les solutions MFA basées sur des applications mobiles.
  • Le rapport mondial sur les menaces de Blackberry Blackberry Global Threat Intelligence Report prévoit que les logiciels malveillants bancaires mobiles augmenteront avec l'utilisation croissante des applications bancaires mobiles au cours de la prochaine décennie.
  • Le rapport d'analyse de la cyber-menace de Rapport d'analyse de la cybermenace de Recorded Future indique que les acteurs de la menace utilisent des services Internet légitimes (LIS) tels que Google Drive et Telegram dans leur infrastructure de serveurs de commande et de contrôle (C2). Les logiciels malveillants mobiles sont plus susceptibles d'abuser des LIS pour la technique de résolution par chute morte (DDR) que tout autre type de logiciel malveillant. Il s'agit d'une technique par laquelle les logiciels malveillants obtiennent le domaine réel ou l'adresse IP du serveur C2 à partir d'un service web.
  • Kaspersky rapporte que 59 167 trojans bancaires mobiles ont été détectés au deuxième trimestre 2023ce qui représente une augmentation de 2,7 % par rapport au trimestre précédent.
  • Le National Cyber Security Centre (NCSC) du Royaume-Uni et six agences partenaires ont publié le Rapport d'analyse du logiciel malveillant Infamous Chisel. Ce nouveau logiciel malveillant Android est lié à l'APT russe Sandworm et cible les appareils mobiles utilisés par l'armée ukrainienne. Il exfiltre des informations sur le système de l'appareil et des informations provenant d'applications commerciales et militaires ukrainiennes spécifiques.