Posté le juillet 19, 2023 à 5:36
MENACE DE CYBERSÉCURITÉ : DES HACKERS EXPLOITENT LA TECHNOLOGIE WEBAPK POUR INSTALLER DES APPLICATIONS MALVEILLANTES SUR DES APPAREILS ANDROID
Selon des rapports récents, la technologie WebAPK d’Android est utilisée à mauvais escient par des acteurs malveillants dans le cadre d’une nouvelle campagne visant à piéger des utilisateurs peu méfiants pour leur faire télécharger des logiciels malveillants. Les experts en sécurité ont averti que la technologie WebAPK joue un rôle crucial, car les hackers l’utilisent pour tromper les utilisateurs d’Android et les amener à installer des applications malveillantes sur leurs téléphones.
Les applications ont été conçues pour extraire des informations personnelles sensibles et les renvoyer au hacker, qui peut ensuite les utiliser à mauvais escient de différentes manières.
Détails de la nouvelle campagne
Les chercheurs du CSIRT KNF ont publié la semaine dernière une analyse de la campagne, indiquant que les attaques commençaient par la réception de messages SMS suggérant aux victimes de mettre à jour leur application bancaire mobile. Les messages contenaient également un lien qui conduisait les utilisateurs vers un site web utilisant la technologie WebAPK pour installer des applications malveillantes sur l’appareil de la victime.
L’application se fait passer pour une multinationale de services bancaires et financiers, PKO Bank Polski. Il s’agit d’une banque basée à Varsovie. En raison du lien étroit avec l’affaire, c’est la société Polonaise de cybersécurité RIFFSEC qui a été la première à communiquer les détails de la campagne.
Quant au WebAPK, il permet aux utilisateurs d’installer diverses applications web progressives (PWA) sur l’écran d’accueil de leurs appareils Android. Essentiellement, cela permet aux utilisateurs de contourner le Google Play Store. En règle générale, l’installation des applications directement à partir des sites web des développeurs ne pose pas de problème lorsqu’il s’agit de services de confiance. C’est d’ailleurs pour cette raison que cette fonctionnalité existe.
Cependant, lorsque les hackers utilisent cette technologie à mauvais escient, les utilisateurs peuvent facilement installer des applications malveillantes, sans faire la différence. Mais, pour être honnête, Google Play Store a connu sa part d’applications malveillantes qui ont réussi à se faufiler à travers les défenses de l’entreprise, de sorte que les utilisateurs ne sont jamais sûrs à 100 % lorsqu’ils installent des applications. C’est pourquoi il leur est toujours conseillé de lire les commentaires et d’examiner attentivement toute application qu’ils souhaitent installer.
Mais, étant donné que les hackers se sont fait passer pour un service bancaire, on peut comprendre que beaucoup aient cru qu’il s’agissait d’une demande légitime de mise à jour de l’appli.
Les hackers disposent d’un moyen sûr pour atteindre les appareils ciblés
Google lui-même a expliqué le problème en disant : « Lorsqu’un utilisateur installe une PWA à partir de Google Chrome et qu’un WebAPK est utilisé, le serveur de frappe « frappe » (package) et signe un APK pour la PWA. » Le géant de la technologie ajoute que le processus prend du temps, mais que lorsque l’APK est prêt, le navigateur installe simplement l’application discrètement sur l’appareil de l’utilisateur. Le téléphone l’installe sans sonner l’alarme, car des fournisseurs de confiance, tels que Samsung ou Play Services, ont signé l’APK.
Bien sûr, pour les hackers, cela signifie un moyen sûr sans se soucier que les utilisateurs se rendent compte de ce qui se passe et interrompent le processus d’installation. Une fois installée, la fausse application bancaire invite les utilisateurs à saisir leurs identifiants de connexion et leurs jetons 2FA. Ces informations sont rapidement transmises au hacker qui a mis en place l’opération et qui dispose actuellement des identifiants de connexion des utilisateurs.
Le CSIRT KNF a indiqué que l’un des plus grands défis pour contrer des attaques de ce type est le fait que les applications WebAPK génèrent des noms de paquets et des sommes de contrôle différents sur chaque appareil. « Elles sont construites dynamiquement par le moteur de Chrome, ce qui rend difficile l’utilisation de ces données en tant qu’indicateurs de compromission (IoC).
Selon les experts, le moyen le plus fiable de contrer ces menaces est de bloquer les sites web qui utilisent la technologie WebAPK pour mener des attaques.
Les hackers utilisent des outils spéciaux pour contourner les contrôles anti-fraude
Il est intéressant de noter que cette nouvelle campagne a émergé après que Resecurity a révélé que les criminels en ligne exploitent des outils spécialisés d’usurpation d’identité des appareils pour Android, qui ont été annoncés sur le dark web comme des appareils permettant aux hackers d’usurper l’identité de titulaires de comptes compromis. Il s’agirait d’une méthode efficace pour contourner les contrôles anti-fraude.
En outre, il existe des outils de détection, tels que MacFly et Enclave Service, qui sont capables d’usurper les empreintes digitales des appareils mobiles et d’autres paramètres de réseau et logiciels sur lesquels les systèmes anti-fraude se concentrent.
Resecurity précise que les criminels ont tendance à utiliser ces outils pour accéder à des comptes compromis. Ils se font passer pour de vrais clients en volant et en exploitant des fichiers cookies.
