Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce tour d'horizon des menaces de cybersécurité est compilé par les chercheurs en cybersécurité et les scientifiques des données de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignements récents.
Informations sur les menaces
- Un total cumulé de 451 millions de téléchargements d'applications infectées par des logiciels espions indique une campagne d'attaque à grande échelle et sophistiquée de la chaîne d'approvisionnement dans l'écosystème Android. Au départ, 101 applications ont été signalées comme étant infectées par des logiciels espions. 101 applications ont été signalées comme étant infectées par le logiciel espion SpinOk, mais la liste des applications infectées s'est encore allongée avec la découverte de 193 autres applications infectées. découverte de 193 applications infectées supplémentaires plus tard.
- AhRatune variante du RAT Android open-source AhMyth, a été découvert dans dans une application trojanisée iRecorder - Screen Recorder. Il est probable que l'application trojanisée ait été utilisée à des fins d'espionnage.
- Les cybercriminels utilisent de faux codes QR collés dans les petites entreprises de Singapour pour diffuser des applications Android malveillantes contenant un cheval de Troie bancaire. Après l'accès initial, les logiciels malveillants drainent facilement les comptes bancaires des victimes. Depuis le mois de mars, au moins 113 victimes de Singapour ont perdu 445 000 dollars dans des escroqueries par hameçonnage.
- Bouldspy est un logiciel espion Android développé et utilisé activement par les forces de l'ordre iraniennes. Outre les fonctions d'espionnage habituelles, il peut également enregistrer les appels vocaux sur 16 applications VoIP différentes.
- L'attaque BrutePrint réussit l'authentification par empreintes digitales des appareils Android avec un équipement d'une valeur de 15 dollars. Les chercheurs ont présenté l'attaque sur huit modèles de téléphones Android différents, et elle a duré entre 45 minutes et 14 heures. L'attaque nécessite un accès physique au téléphone et permet ensuite à l'attaquant de déverrouiller l'écran, d'effectuer des paiements sur des applications, etc.
- Le logiciel malveillant Android DogeRAT cible les habitants de l'Inde via des versions contrefaites d'applications populaires de divertissement, de médias sociaux et de messagerie.
- Fleckpe est une nouvelle famille de chevaux de Troie Android qui qui abonne furtivement les victimes à des services payants appartenant aux attaquants. Les chercheurs ont trouvé onze applications infectées sur Google Play, qui ont été installées sur plus de 620 000 appareils.
- Fluhorse est un logiciel malveillant Android récemment découvert, qui comprend des fonctionnalités malveillantes développées uniquement à l'aide de la plateforme open-source Flutter. Ce cadre rend non seulement l'analyse et la détection des logiciels malveillants difficiles, mais il permet également aux attaquants de développer des logiciels malveillants multiplateformes à partir d'une base de code unique. Il peut être conçu pour iOS, Android ou d'autres cibles. Les fonctionnalités malveillantes sont conçues pour voler des données sensibles (informations d'identification et/ou de carte de crédit) et des codes d'authentification à deux facteurs (2FA) envoyés par SMS.
- L'entreprise criminelle du Lemon Group a préinfecté près de 9 millions d'appareils mobiles avec une bibliothèque système Android altérée dans le cadre d'une attaque de la chaîne d'approvisionnement. Les acteurs de la menace ont monétisé les appareils infectés en proposant des services de comptes vérifiés par téléphone (PVA), des services de proxy, des services de marketing, des fraudes publicitaires et des services d'installation d'applications.
- OilAlpha, un groupe de menace ciblant des entités de la péninsule arabique depuis mai 2022, utilise les trojans d'accès à distance SpyNote et SpyMax Android, utilise les trojans d'accès à distance (RAT) SpyNote et SpyMax Android dans ses opérations d'espionnage. (RAT) Android dans ses opérations d'espionnage.
- Predator, un puissant logiciel espion Android commercial disponible à la fois pour iOS et Android, offre un large éventail de capacités de vol d'informations, de surveillance et d'accès à distance. d'informations, de surveillance et d'accès à distance.. En particulier, son chargeur, Alien, peut arrêter les applications sélectionnées fonctionnant en arrière-plan lors du redémarrage de l'appareil - une technique courante observée dans les logiciels malveillants mobiles pour affaiblir les défenses.
- Les téléphones portables volés constituent une menace pour les applications bancaires mobiles. 73 000 £ ont été volés à une victime au Royaume-Uni.
Vulnérabilités et correctifs
- Une vulnérabilité zero-day de type "use-after-free" (CVE-2023-0266) dans le sous-système sonore du noyau Linux, exploitée pour diffuser des logiciels espions sur les téléphones Android de Samsung, corrigée dans le correctif de sécurité Android 2023-05-05 correctif de sécurité niveau.
- Kids Place est une application de contrôle parental pour les téléphones Android qui a été téléchargée plus de 5 millions de fois. Des chercheurs ont identifié plusieurs vulnérabilités (CVE-2023-29079, CVE-2023-29078 et CVE-2023-28153) dans l'application. Tous les problèmes ont été corrigés dans la version 3.8.50.
- La CISA ajoute CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373CVE-2023-32409, trois vulnérabilités "zero-day" qui ont été exploitées pour déployer des logiciels espions, à son catalogue de vulnérabilités exploitées connues. Ces trois problèmes ont été résolus dans la version iOS 16.5 version.
- Samsung : un correctif activement exploité CVE-2023-21492 dans la version de maintenance de sécurité du mois de mai 2023 version de maintenance de sécurité de mai 2023 (SMR). La CISA a ajouté ceci écriture d'informations sensibles dans les journaux à son catalogue de vulnérabilités exploitées connues.
- Expo permet aux développeurs d'applications de créer des applications natives iOS, Android et web à partir d'une base de code unique. Une faille de sécurité critique (CVE-2023-28131) dans l'implémentation de l'autorisation ouverte (OAuth) du framework a été atténuée par un correctif.
Rapports de renseignement
- Meta a fait état des mesures prises à l'encontre d'une menace persistante avancée (APT) parrainée par un État et basée au Pakistan, des groupes APT Bahamut et Patchwork dans le Rapport trimestriel sur les menaces adverses - 1er trimestre 2023. Ces groupes utilisent Facebook et Instagram pour faire de l'ingénierie sociale auprès de leurs cibles afin de leur livrer des applications Android malveillantes.
- Apple a annoncé que l'App Store a empêché des transactions frauduleuses d'une valeur de plus de 2 milliards de dollars et rejeté près de 1,7 million de soumissions d'applications en raison d'une violation des règles de confidentialité, de sécurité ou de contenu en 2022. 428 000 comptes de développeurs et 282 millions de comptes de clients ont également été résiliés pour fraude et abus l'année dernière.
- Selon le LexisNexis Risk Solutions Cybercrime Report 2022les applications mobiles sont devenues le canal privilégié pour les transactions numériques (63 % des 79,8 milliards de transactions en 2022). Les applications mobiles ont également affiché la plus forte croissance d'une année sur l'autre en termes de taux d'attaque, avec une augmentation de 58 %.
- AhMyth, Anubis et Hiddad sont les trois principaux malwares mobiles en avril 2023 selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit