Posté le mai 14, 2023 à 6:21
DES CHERCHEURS METTENT EN GARDE CONTRE UN NOUVEAU LOGICIEL MALVEILLANT QUI VOLE LES CODES D’AUTHENTIFICATION 2FA
Des chercheurs en cybersécurité ont lancé un avertissement aux utilisateurs d’Android au sujet d’un nouveau logiciel malveillant. Le logiciel malveillant en question vole des codes d’authentification à deux facteurs (2FA) pour un large éventail d’applications. Le logiciel malveillant en question est connu sous le nom de FluHorse, et il a la capacité de permettre à un acteur malveillant d’infiltrer le réseau et d’obtenir un accès non autorisé.
Le logiciel malveillant FluHorse vole les codes 2FA
Le logiciel malveillant FluHorse a leurré les utilisateurs en se faisant passer pour une application légitime sur Android. Le logiciel malveillant propage l’infection sur les appareils Android en diffusant des infections par le biais d’emails de phishing.
L’un des moyens pour les utilisateurs d’éviter d’être victimes de ce logiciel malveillant est d’éviter de cliquer sur les liens qui ont été envoyés à l’aide de mails et de messages non sollicités. Le logiciel malveillant FluHorse peut avoir des effets importants sur un utilisateur Android, car il peut voler l’accès aux codes 2FA. Si un acteur de la menace a accès à ces codes, il peut infiltrer des applications sensibles sur un appareil, y compris collecter des informations financières.
Selon un rapport de Check Point, l’équipe de recherche a détecté un nouveau logiciel malveillant connu sous le nom de FluHorse, dont l’objectif est de cibler les utilisateurs d’Android et d’infiltrer les appareils. Le logiciel malveillant se fait passer pour des applications légitimes, l’objectif étant d’inciter les utilisateurs à les télécharger pour causer des ravages et infecter un appareil.
Le logiciel malveillant imite un large éventail d’applications, notamment des applications bancaires, des applications de rencontres et des applications de péage. Pour atteindre les appareils cibles, les acteurs de la menace utilisent des e-mails de phishing qui ciblent en grande partie les entités les plus sensibles, y compris les responsables gouvernementaux. Les courriels ont été configurés de manière à tromper le destinataire en lui faisant croire que ces e-mails sont crédibles.
Une fois le logiciel malveillant installé, il demande la permission d’obtenir l’accès aux SMS afin de pouvoir voler l’accès aux codes 2FA. L’application continue de permettre à l’utilisateur d’afficher un message « système occupé » pour l’alerter. Cela permet à l’attaquant de gagner du temps pour analyser tous les messages qui ont été envoyés sur la plateforme.
« Ces applications malveillantes volent les informations d’identification des victimes et les codes d’authentification à deux facteurs (2FA). FluHorse cible différents secteurs des marchés d’Asie de l’Est et est distribué par le biais de courriels. Dans certains cas, les e-mails utilisés dans la première phase des attaques appartiennent à des entités très connues. Le logiciel malveillant peut rester indétecté pendant des mois, ce qui en fait une menace persistante, dangereuse et difficile à repérer », indique l’étude de Check Point.
Les deux fausses applications utilisées dans le cadre de cette campagne ont été téléchargées à plus d’un million d’exemplaires chacune. Cela montre que l’ampleur des dégâts est importante et que de nombreux utilisateurs d’appareils Android pourraient avoir été touchés.
Les applications malveillantes comprennent des applications bancaires
L’une des applications imitées dans cet exploit est l’application de péage « ETC », qui cible les utilisateurs de Taïwan. L’autre a aussi imité l’application bancaire « VPBank Neo ».
Cette application bancaire cible les utilisateurs basés au Vietnam. Les applications copient la présentation exacte des applications originales, mais il existe de légères différences entre les deux. Les acteurs malveillants à l’origine de l’attaque se concentrent sur les similitudes entre ces applications afin de garantir que la victime ne sera pas alertée.
Ces applications malveillantes incitent aussi les utilisateurs victimes à fournir leurs informations d’identification et divers détails de carte de crédit. Par la suite, les utilisateurs auront accès aux OTP ou aux codes d’authentification à deux facteurs qui permettront à l’acteur de la menace de compléter avec succès le paiement de la victime et les détails de connexion.
Ces données seront exploitées par l’acteur de la menace malgré le fait que l’utilisateur ait mis en place un système d’authentification à deux facteurs sur des applications légitimes. L’activité du logiciel malveillant dans son cas remonte à mai de l’année dernière, ce qui montre la probabilité que le logiciel malveillant FluHorse échappe à la détection pendant environ un an.
Les chercheurs ont attribué la structure moins compliquée de ce logiciel malveillant à la raison pour laquelle il a évité la détection, et il reste à être exploité et à causer des dommages aux utilisateurs d’Android. Selon les recherches menées par Check Point, les utilisateurs doivent éviter de télécharger des applications malveillantes en s’assurant que leurs appareils sont sécurisés à l’aide d’un logiciel anti-logiciel malveillant robuste.
Ce n’est pas la première fois que les appareils Android sont la cible d’applications malveillantes. Les chercheurs ont déjà indiqué que le Google Play Store contient des applications malveillantes qui, si elles sont installées, peuvent causer des dommages importants aux utilisateurs.
Google supprime généralement ces applications lorsqu’elles sont signalées ou dès qu’elles sont détectées. Toutefois, lorsqu’elles sont retirées, elles ont déjà causé des dommages importants aux utilisateurs.
