Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.
Informations sur les menaces
- Coper et Octo, les descendants du cheval de Troie bancaire Android Exobot, sont utilisés activement pour pour cibler les utilisateurs de services bancaires en ligne au Portugal, en Espagne, en Turquie et aux États-Unis.. Ils mettent en œuvre des techniques d'attaque standard pour les logiciels malveillants bancaires Android avancés et abusent du service d'accessibilité d'Android. Les techniques les plus remarquables sont les attaques par superposition, l'enregistrement des frappes, le partage d'écran pour l'accès à distance et le contrôle des SMS et des notifications push.
- criminelMW Un cheval de Troie bancaire Android cible 10 banques brésiliennes par l'intermédiaire de la plateforme de paiement instantané PIX. Cette menace en évolution rapide est la troisième édition de la famille de logiciels malveillants, précédemment GoatRAT et FantasyMW, émanant du même acteur de la menace en l'espace d'un an. Il utilise principalement utilise un système de transfert automatisé (ATS) activé par un abus de service d'accessibilité pour exécuter une transaction PIX à partir de l'application bancaire de la victime. Il est proposé à la location pour 5 000 dollars par mois.
- La campagne d'espionnage eXotic Visit La campagne d'espionnage eXotic déploie le logiciel malveillant open-source XploitSPY pour cibler les personnes à haut risque, principalement au Pakistan et en Inde. Il se fait passer pour une application de messagerie légitime et parvient parfois à s'infiltrer dans le Google Play Store. Le nombre très faible de téléchargements dans le Play Store indique la nature ciblée de cette campagne.
- Fake Leather Wallet app se trouve dans l'App Store d'Apple. Il s'agit d'un draineur de crypto-monnaie conçu pour voler la phrase de passe de la victime et transférer tous les actifs numériques vers un portefeuille contrôlé par un cybercriminel. La fausse application a été retirée de la boutique officielle après avoir été disponible pendant plus de deux semaines. Les "crypto drainers" sont devenus très courants ces dernières années avec la popularité croissante des crypto-monnaies, et leur présence dans les boutiques d'applications officielles est alarmante.
- FlexStarling Le logiciel espion Android est distribué par l'acteur de la menace Starry Addax pour cibler les militants des droits de l'homme en Afrique du Nord.
- Le Hornet L'application de rencontre Hornet avait l'habitude de la localisation de ses utilisateurs à 10 mètres près, même s'ils n'ont pas activé la fonction de partage de localisation.même s'ils n'activaient pas la fonction de partage de la localisation. Des mises à jour récentes ont réduit la précision de la localisation à 50 mètres afin d'atténuer le risque.
- Des attaques de fatigue par authentification multifactorielle ont été signalées récemment par plusieurs utilisateurs d'iPhone. Il s'avère qu'un bogue dans la fonction de réinitialisation du mot de passe a permis à des attaquants d'envoyer un flot de notifications de réinitialisation du mot de passe de l'identifiant Apple.
- Pegasus Le logiciel espion commercial Pegasus reste un outil essentiel pour espionner les utilisateurs d'iPhone à haut risque. espionner les utilisateurs d'iPhone à haut risque.
- PixPiratePixPirate est un cheval de Troie bancaire Android spécialisé qui cible la plateforme de paiement instantané PIX au Brésil, utilise une nouvelle technique d'évasion de défense pour empêcher l'affichage de l'icône de son lanceur à la victime. Android 10 a introduit des contre-mesures pour empêcher les applications malveillantes de supprimer l'icône de leur lanceur, mais les acteurs de la menace ont trouvé un nouveau moyen de contourner ces changements.
- Opération PROXYLIB découvert 28 applications VPN malveillantes dans le Google Play Store qui transforment les téléphones des utilisateurs en services proxy sans les en informer. Il s'agit d'une technique de monétisation courante pour les applications VPN gratuites, et les cybercriminels achètent généralement ces services proxy pour dissimuler leurs opérations.
- VenmoVenmo, une application de paiement populaire, est pour distribuer des courriels de phishing.
- VulturVultur, un cheval de Troie bancaire Android, a une nouvelle variante qui offre un meilleur contrôle de l'appareil infecté en abusant du service d'accessibilité et en améliorant les techniques d'évasion de la défense. Une nouvelle technique importante pour le garder sous le radar consiste à utiliser le nom officiel de la suite d'accessibilité Android pour son service d'accessibilité.
Vulnérabilités et correctifs
- Google a corrigé deux failles de sécurité activement exploitées (CVE-2024-29745 et CVE-2024-29748).CVE-2024-29745 et CVE-2024-29748) qui sont utilisées par les sociétés d'expertise pour déverrouiller les téléphones Pixel sans code PIN et accéder aux données personnelles. Le niveau de correctif de sécurité 2024-04-05 ou plus récent corrige les deux.
Rapports de renseignement
- Verimatrix a publié un guide qui aborde les dernières vulnérabilités du Top 10 de l'OWASP Mobile et explique comment les développeurs peuvent sécuriser leurs applications mobiles face à l'évolution des menaces.
- Le Doctor Web's janvier et février 2024 montrent une augmentation de l'activité des adwares Android HiddenAds, tandis que les activités des trojans bancaires Android ont d'abord augmenté de 17 % en janvier, puis ont diminué de 19 % en février. Le premier rapport fait également état de quelques applications frauduleuses dans le Google Play Store.
- Malwarebytes rapporte que la société a détecté 88 500 infections par des logiciels malveillants bancaires Android en 2023.
- Le rapport State of Stalkerware in 2023 de Kaspersky montre une légère augmentation (6 %) des victimes de stalkerware, avec un total de 31 031 cas uniques l'année dernière. Ces victimes se trouvaient principalement en Russie, au Brésil et en Inde. L'application de stalkerware la plus populaire est TrackView.
- Anubis, AhMyth et Hydra ont été les trois principaux malwares mobiles en février 2024, selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
- Kaspersky a publié un résumé de ses trois rapports de renseignements privés sur les logiciels malveillants Android.
- Le rapport de rapport de Recorded Future indique qu'il existe un lien évident entre i-SOON, un contractant des agences d'État chinoises pour les campagnes de piratage et d'espionnage à l'étranger, et POISON CARP, un acteur soupçonné d'être une menace parrainée par l'État chinois qui espionne les appareils mobiles des Tibétains.
- Le rapport de Google et Mandiant Mandiant "A review of zero-day-in-the-wild exploits in 2023" (rapport sur les exploits de type "zero-day-in-the-wild" en 2023) indique que 75 % des exploits zero-day connus ciblant les produits Google et les appareils Android en 2023 ont été attribués à des fournisseurs de surveillance commerciale.
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit