Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • ErrorFather distribue une nouvelle variante du trojan bancaire Cerberus Android. Il peut réaliser des attaques par superposition, des enregistrements de frappe et des partages d'écran VNC.. Cette variante met en œuvre un déploiement en plusieurs étapes pour échapper à la détection et utilise un algorithme de génération de domaine pour augmenter la résilience contre les fermetures de serveurs C2.
  • Les informations d'identification du service cloud codées en dur et non protégées sont dans des applications iOS et Android populaires populaires, téléchargées par millions. Cette faille expose des infrastructures critiques, par exemple Amazon Web Services (AWS) et Microsoft Azure, à des attaques potentielles.
  • Le LightSpy met en évidence l'importance de la mise à jour des systèmes. Il utilise des exploits de type "n-day pour délivrer des charges utiles et élever les privilèges. Cet implant utilise un jailbreak sans racine qui ne survit pas à un redémarrage. Des redémarrages périodiques peuvent s'avérer utiles. Les acteurs de la menace derrière LightSpy sont probablement situés en Chine.
  • L'arnaque Lounge Pass scam campagne La campagne d'escroquerie "Lounge Pass" cible les voyageurs dans les aéroports indiens avec un logiciel malveillant de vol de SMS sous Android.. L'application frauduleuse du salon exfiltre les messages SMS de la victime contenant les OTP. Plus de 450 personnes ont été victimes de cette escroquerie, ce qui a entraîné une perte de plus de 9 lakhs INR (environ 11 000 dollars).
  • Les Necro a été découvert dans le Google Play Store. Le nombre cumulé de téléchargements des applications infectées est supérieur à 11 millions. Il peut commettre des fraudes publicitaires, télécharger et exécuter du code supplémentaire, installer des applications, créer un tunnel à travers l'appareil infecté et potentiellement s'abonner à des services premium. Notamment, son chargeur utilise la stéganographie pour cacher les charges utiles de deuxième étape. Necro a également été détecté en dehors de la boutique officielle dans les versions modifiées de Spotify, Minecraft et d'autres applications populaires.
  • Octo2la nouvelle variante d'Octo (également connue sous le nom d'ExobotCompact), a commencé à se répandre en Europe. Cette variante offre une stabilité accrue des sessions de contrôle à distance lors de la prise de contrôle d'un appareil (DTO) et améliore les techniques d'évasion et d'anti-analyse. La version précédente d'Octo est dans la nature depuis un certain temps et a été complètement découverte après la fuite de son code source.
  • Les attaques de type "Quishing" visent les propriétaires de voitures électriques en Europe. visent les propriétaires de voitures électriques en Europe. Les fraudeurs collent des codes QR malveillants sur les codes légitimes dans les stations de recharge et redirigent les victimes vers des sites de paiement hameçons. et redirigent les victimes vers des sites de paiement hameçons. Il semblerait notamment que les criminels utilisent des brouilleurs pour perturber les essais de paiement des victimes à partir de l'application de recharge, ce qui les amène à scanner le faux code QR.
  • SilentSelfieune campagne d'arrosage sur les sites web kurdes, distribue un logiciel espion Android aux utilisateurs sélectionnés pour enregistrer leurs images à partir de la caméra frontale.
  • SpyNote Des échantillons de logiciels malveillants Android, des outils d'attaque DDoS et des pages d'hameçonnage usurpant l'identité de marques connues ont été ont été découverts dans le serveur d'un cybercriminel. En outre, des pages d'hameçonnage contenant références à EagleSpy Android RAT indiquent la possibilité d'une utilisation de logiciels malveillants autres que SpyNote, et les notes de rançon dans le serveur suggèrent fortement une implication dans des attaques de ransomware.
  • Strava L'application de médias sociaux pour le sport peut être utilisée pour suivre trois des plus importants dirigeants du monde. Ils n'utilisent pas l'application, mais leurs agents de sécurité le font.
  • TrickMo Trojan bancaire Android collecte les informations d'identification des utilisateurs à partir d'un large éventail d'applications mobiles sur les appareils infectés. L'analyse de la géolocalisation IP montre que les victimes sont principalement originaires du Canada, des Émirats arabes unis, de la Turquie et de l'Allemagne.
  • UNC5812La Commission européenne a lancé une opération d'espionnage et d'influence hybride soupçonnée d'être menée par la Russie contre les efforts de mobilisation de l'Ukraine, distribue le logiciel espion Android CraxsRAT disponible dans le commerce.
  • UniShadowTrade, une collection de fausses applications de trading construites avec le framework UniApp, vise les utilisateurs d'iOS et d'Android dans le cadre d'escroqueries dites de "dépeçage de porcs". en Asie-Pacifique, en Europe, au Moyen-Orient et en Afrique. Dans ce type d'escroquerie, les cybercriminels incitent les victimes à investir dans des transactions à haut rendement, en leur permettant de réaliser des profits élevés dans un premier temps, mais en leur dérobant finalement tous leurs fonds. Comme ces applications se comportent comme des applications commerciales classiques, elles ne sont pas détectées par les analyses classiques de logiciels malveillants.
  • La fausse application WalletConnect de Google Play a soutiré à ses victimes plus de 70 000 dollars en crypto-monnaie. WalletConnect est un protocole open-source qui relie les portefeuilles de crypto-monnaies aux applications décentralisées et permet d'interagir sans partager les clés privées des portefeuilles.

Vulnérabilités et correctifs

  • Apple a corrigé une vulnérabilité de la fonction d'accessibilité VoiceOver (CVE-2024-44204) et une vulnérabilité de la session média (CVE-2024-44207) dans l'application iOS 18.0.1 . La première peut conduire à la lecture à haute voix des mots de passe sauvegardés et la seconde provoque quelques secondes d'enregistrement audio avant que l'indicateur de microphone ne soit activé.
  • Qualcomm a corrigé un bogue de type "use-after-free" (CVE-2024-43047) dans le service DSP qui entraîne une corruption de la mémoire. Il semblerait que cette faille puisse faire l'objet d'une exploitation limitée et ciblée.
  • Samsung a corrigé une vulnérabilité zero-day activement exploitée (CVE-2024-44068) dans la mise à jour de sécurité d'octobre. Cette faille "use-after-free" dans le processeur mobile conduit à une escalade des privilèges.

Rapports de renseignement

  • Joker, Anubis et Hiddad ont été les trois principaux logiciels malveillants mobiles en septembre, selon le rapport de rapport de Check Point sur les logiciels malveillants les plus recherchés.
  • Rapport sur les menaces mobiles, IoT et OT de Zscaler ThreatLabz 2024 Mobile, IoT, and OT Threat Report (Rapport sur les menaces mobiles, IoT et OT) a constaté que les menaces mobiles sont de plus en plus ciblées et sophistiquées. Le rapport fait état d'une augmentation de 29 % des attaques de logiciels malveillants bancaires mobiles et les familles les plus actives en termes de nombre de transactions sont respectivement Vultur, Hydra, Ermac, Anatsa (Teabot), Coper (Octo) et Nexus. L'étude indique également une augmentation considérable de 111 % des attaques de logiciels espions mobiles.
  • Dr. Web signale une augmentation de l'activité malveillante des fausses applications et des adwares au troisième trimestre 2024. Il présente les échantillons trouvés dans Google Play. Le rapport montre également des trojans bancaires Android ciblant les utilisateurs d'une banque indonésienne et plus d'un million de boîtiers TV Android infectés par une porte dérobée dans 197 pays.