Posté le juin 1, 2022 à 16:25
RAPPORT SUR LES MENACES MOBILES – LES UTILISATEURS D’APPAREILS ANDROID SONT DE PLUS EN PLUS EXPOSÉS À DES ATTAQUES
L’analyse du paysage des menaces mobiles publiée par ThreatFabric a révélé que les chevaux de Troie bancaires qui ciblent les appareils Android ont considérablement augmenté. Le rapport note que la Turquie et l’Espagne sont les centres de la plupart des campagnes de logiciels malveillants. Mais les pays les plus ciblés sont la France, le Royaume-Uni, l’Allemagne, l’Italie, l’Australie et la Pologne.
ThreatFabric a déclaré que le fait que la fraude sur périphérique (ODF) fasse l’objet d’une attention croissante est l’aspect le plus inquiétant de ces attaques.
Les familles de logiciels malveillants ciblant les appareils Android OS ont augmenté de 40 %
Au cours des cinq premiers mois de l’année, on a constaté une augmentation de plus de 40 % des familles de logiciels malveillants qui compromettent Android OS pour commettre des fraudes. La campagne utilise l’appareil pour réaliser la fraude, ce qui la rend très difficile à détecter avec les systèmes traditionnels de détection des fraudes.
ERMAC, Octo, Cerberus, FluBot et Hydra sont les chevaux de Troie les plus actifs, d’après le nombre d’échantillons observés en janvier.
Outre l’augmentation du nombre d’appareils Android infectés, de nouvelles applications de dropper ont été découvertes sur Google Play Store. La plupart d’entre elles se présentent comme des applications authentiques offrant des services d’utilité et de productivité. Elles se présentent avec ce service, mais effectuent des opérations malveillantes en arrière-plan. Cela les rend très dangereuses car elles ne peuvent pas être facilement détectées.
De plus, les hackers perpétuent la fraude aux appareils comme méthode furtive pour initier des transactions malveillantes à partir des appareils des victimes. Grâce à ces nouveaux outils, les hackers utilisent désormais des informations d’identification précédemment volées pour se connecter à des applications bancaires et effectuer des transactions non autorisées.
C’est encore pire. Les acteurs de la menace ont utilisé les chevaux de Troie bancaires de manière plus évasive et ont été observés en train de mettre à jour leurs capacités. Ils sont désormais bien équipés pour voler des informations d’identification à partir d’écrans superposés avant même qu’elles ne soient soumises.
Le cheval de Troie exploite le service d’accessibilité d’Android
L’objectif des hackers est d’obtenir les informations d’identification même lorsque les victimes sont méfiantes et ont fermé la superposition sans appuyer sur le faux « login » visible sur la page en superposition.
Après l’apparition d’ERMAC en septembre de l’année dernière, il a constamment reçu des mises à jour lui permettant de voler automatiquement les phrases de démarrage d’une application de portefeuille de crypto-monnaie. Pour ce faire, le cheval de Troie exploite le service d’accessibilité d’Android. C’est devenu un problème majeur pour les appareils Android ces derniers temps, car les hackers profitent de l’API authentique pour servir de faux écrans superposés aux utilisateurs crédules, ce qui leur permet de capturer des informations sensibles.
L’année dernière, Google a tenté de régler le problème en veillant à ce que seuls les services conçus pour aider les personnes handicapées à accéder à leurs appareils puissent déclarer qu’ils sont des outils accessibles.
Cependant, le nouvel Android 13 comporte encore plus de mesures de sécurité, bien qu’il soit actuellement en version bêta. Il restreint l’accès aux API des applications, en particulier celles que l’utilisateur a téléchargées depuis un autre magasin d’applications. Il est donc très difficile pour les applications hautement dangereuses d’utiliser le service à mauvais escient.
Pendant que ThreatFabric effectuait ses recherches, l’équipe a constaté qu’elle contournait légèrement les restrictions en modifiant le processus d’installation. Cela signifie que les hackers peuvent également passer au travers, ce qui suggère la nécessité d’une approche plus stricte pour contrer de telles menaces.
Il est conseillé aux utilisateurs de télécharger des applications uniquement à partir de sources fiables
Les chercheurs ont recommandé aux utilisateurs de ne télécharger que les applications de la boutique d’applications Google et d’éviter de donner aux applications des autorisations inhabituelles qui peuvent exposer leur appareil. Certaines applications demandent des autorisations qui n’ont pas lieu d’être, par exemple une calculatrice qui demande à l’utilisateur l’accès à sa liste de contacts. Les utilisateurs qui tombent sur ce type d’applications doivent les éviter complètement, ont averti les chercheurs en sécurité. En outre, les utilisateurs sont également invités à se méfier des tentatives de phishing visant à installer des applications malveillantes sur leurs appareils.
Les acteurs de la menace ont continué à tirer parti de l’ouverture du système d’exploitation Android, même si cela sert aussi un bon objectif. Les chercheurs ont déclaré que malgré les restrictions imposées à ces applications, certaines d’entre elles se frayent un chemin jusqu’à l’appareil d’utilisateurs peu méfiants.
Les acteurs de menaces utilisent désormais diverses techniques pour réaliser des fraudes mobiles. Mais les plus populaires sont le reconditionnement, l’ingénierie inverse, les chevaux de Troie bancaires mobiles, les claviers pirates et les attaques par superposition. Un acteur malveillant peut procéder à l’ingénierie inverse d’une application pour analyser son code source et ses composants. Les acteurs de menaces peuvent par ailleurs cibler les applications bancaires mobiles à l’aide d’un cheval de Troie spécialement conçu à cet effet. Ce type d’attaque est l’un des plus anciens, et il est toujours utilisé de manière intensive aujourd’hui.
