Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • BingoMod Trojan bancaire Android utilise le service d'accessibilité d'Android pour réaliser des fraudes sur les appareils. Il utilise l'enregistrement des touches, l'interception des SMS et le partage d'écran interactif à distance pour voler des fonds sur les comptes bancaires de la victime. Il peut également effectuer du phishing sur l'appareil à l'aide de webinjects. Ce logiciel malveillant est encore en cours de développement.
  • Blankbot Trojan bancaire Android, comme beaucoup d'autres, abuse du service d'accessibilité d'Android. Il prend en charge les principales caractéristiques des chevaux de Troie bancaires telles que les injections, l'enregistrement de frappe, l'enregistrement d'écran et la fraude sur l'appareil. Il peut créer des injections personnalisées et, vraisemblablement, cibler les utilisateurs de services bancaires mobiles en Turquie. Ce logiciel malveillant est encore en cours de développement.
  • Le logiciel espion mercenaire de Candiru a été utilisé pour tenter d'accéder au d'accéder au téléphone portable d'un membre du Parlement européen.
  • Caméléon Un cheval de Troie bancaire Android, déguisé en application de gestion de la relation client (CRM) d'une chaîne de restaurants canadienne opérant à l'échelle internationale, cible les employés de la chaîne au Canada et en Europe (peut-être au Royaume-Uni et en Espagne). Les cybercriminels cherchent probablement à infecter un employé d'entreprise ayant accès aux comptes bancaires de l'entreprise afin de voler des montants plus importants en une seule fois. Les organisations financières doivent prendre en compte le risque plus élevé d'attaques de logiciels malveillants mobiles contre les comptes professionnels accessibles à partir d'appareils mobiles.
  • groupe de menace Daggerfly également connu sous les noms de Evasive Panda et Bronze Highland, a mis à jour sa panoplie d'outils. Les nouveaux outils ont été observés pour la première fois lors d'attaques contre des organisations à Taïwan. Daggerfly utilise une bibliothèque ou un cadre unique et partagé pour créer des logiciels malveillants pour différentes plateformes, y compris Android OS. Il est également capable de transformer en chevaux de Troie des applications Android.
  • ERIAKOS La campagne d'escroquerie au commerce électronique cible les utilisateurs de Facebook, qui accèdent aux sites Web d'escroquerie accèdent aux sites web frauduleux exclusivement à l'aide d'appareils mobiles par le biais de leurres publicitaires. Cela devrait permettre de protéger les sites frauduleux contre les scanners web.
  • EvilVideoEvilVideo, une vulnérabilité dans l'application Telegram pour Android, permet à une application malveillante d'apparaître comme un fichier vidéo. une application malveillante d'apparaître comme un fichier vidéo sur l'écran de chat de la victime. Elle augmente ainsi les chances de tromper les utilisateurs de Telegram et de les inciter à installer des applications malveillantes. Cette faille a été corrigée dans la version 10.14.5 de l'application.
  • Gigabud et Golddigger Les trojans bancaires Android sont très probablement développés par le même acteur de menace en raison des nombreuses ressemblances dans leurs codes sources. L'acteur de la menace a récemment étendu ses opérations de l'Asie du Sud-Est à d'autres régions, dont le Bangladesh, l'Indonésie, le Mexique, l'Afrique du Sud et l'Éthiopie..
  • L'équipe GXC groupe de cybercriminels qui développe principalement des kits d'hameçonnage et des logiciels malveillants voleurs de SMS Android développe principalement des kits d'hameçonnage et des logiciels malveillants de vol de SMS Android et propose un modèle d'abonnement pour y accéder. Ses cibles actuelles sont principalement des banques espagnoles, mais des kits d'hameçonnage pour une grande variété d'entreprises (services fiscaux et gouvernementaux, commerce électronique, banques et bourses de crypto-monnaies) aux États-Unis, au Royaume-Uni, en Slovaquie et au Brésil sont également disponibles.
  • Les applications de rencontres basées sur la localisation (LBD) contiennent des données sensibles. Les chercheurs ont découvert que 6 des 15 applications LBD divulguent la localisation exacte des utilisateursce qui constitue une menace physique pour la sécurité des utilisateurs.
  • LianSpy Ce logiciel espion pour Android cible les utilisateurs russes. Il obtient les privilèges de la racine et présente de nouvelles fonctionnalités par rapport aux logiciels espions à motivation financière, ce qui indique probablement qu'il s'agit d'un mercenaire. Il exfiltre des données sensibles de l'appareil de la victime, de ses fichiers personnels et de ses applications de messagerie instantanée.
  • Life360 l'application internationale de sécurité de localisation des familles de l'application Life360, y compris les numéros de téléphone, ont été divulguées.Cette fuite pourrait être due à une faille dans le point de terminaison de l'API de connexion. 442 519 utilisateurs ont été touchés.
  • Mandrake Le logiciel espion Android n'a pas été détecté dans le Google Play Store depuis 2022 et a été téléchargé plus de 32 000 fois au total. La plupart des téléchargements proviennent du Canada, de l'Allemagne, de l'Italie, du Mexique, de l'Espagne, du Pérou et du Royaume-Uni. Cette dernière version de Mandrake est équipée de techniques améliorées d'évasion de défense et d'anti-analyse. Ses principaux objectifs sont les suivants voler les informations d'identification de l'utilisateur et installer les applications malveillantes suivantes.
  • Mobile GuardianMobile Guardian, une suite d'applications de gestion d'appareils largement utilisée dans les écoles de Singapour, a été victime d'une faille de sécurité. faille de sécurité. Les cybercriminels ont retiré les appareils iOS de la plateforme et ont effacé à distance les appareils d'apprentissage des élèves. Il s'agit d'environ 13 000 appareils à Singapour.
  • Ratel Un logiciel espion Android se faisant passer pour un jeu de clics Hamster Combat cible les utilisateurs d'Android en Russie. Le logiciel espion est distribué via Telegram. Il vole les notifications de plus de 200 applications et s'abonne à des services premium en utilisant les fonds de la victime. Il peut également vérifier le solde bancaire de la victime dans une banque bien connue.
  • Triade de l'hameçonnageun acteur de la menace parlant chinois et spécialisé dans le smishing, se fait passer pour India Post dans le cadre de sa dernière campagne visant à voler les informations relatives aux cartes de débit/crédit des utilisateurs d'iPhone en Inde. voler les informations des cartes de débit/crédit des utilisateurs d'iPhone en Inde. Ils envoient aux victimes un iMessage contenant une URL vers le site web de phishing, qui perçoit des frais de réexpédition.
  • Les campagnes de logiciels malveillants Les campagnes de logiciels malveillants de type "voleur de SMS" sont de plus en plus nombreuses. Les acteurs de la menace abusent des grandes marques bancaires en Inde pour inciter les utilisateurs de services bancaires mobiles à installer des logiciels malveillants Android.
  • La campagne de logiciels malveillants voleurs de SMS , qui se propage dans de nombreux pays, s'est révélée être l'épine dorsale d'un service de numéros de téléphone virtuels. Ces services sont couramment utilisés par les cybercriminels pour vérifier les SMS et enregistrer de faux comptes sur des sites web et des applications légitimes.

Vulnérabilités et correctifs

  • Apple a corrigé une vulnérabilité de Siri (CVE-2024-40818) dans la version 17.6 d'iOS. Elle permet à un attaquant disposant d'un accès physique d'accéder à des données utilisateur sensibles sur un appareil verrouillé.
  • La CISA ajoute CVE-2024-36971une vulnérabilité de type "use-after-free" dans le noyau Linux, à son catalogue de vulnérabilités exploitées connues. Elle pourrait conduire à une exécution de code à distance. Elle est corrigée dans le correctif de sécurité Android 2024-08-05.

Rapports de renseignement