Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.
Informations sur les menaces
- Ajina Un cheval de Troie bancaire Android cible les utilisateurs de services bancaires mobiles en Asie centrale, en particulier en Ouzbékistan, depuis le mois de novembre. Il vole des informations bancaires et intercepte les codes 2FA envoyés par SMS. Il est distribué principalement via des canaux Telegram et parfois via des ressources web. Ajina demande l'autorisation du service d'accessibilité pour empêcher la désinstallation et acquérir des autorisations supplémentaires.
- Binance bourse de crypto-monnaies met en garde contre une d'une hausse significative de l'activité des logiciels malveillants de type "clipperLa bourse de crypto-monnaies Binance met en garde contre une hausse importante de l'activité des logiciels malveillants de type "clipper", en particulier sur les plateformes Android et web. Le logiciel malveillant Clipper échange les adresses de portefeuilles dans le presse-papiers avec une adresse contrôlée par l'attaquant, et les victimes transfèrent ainsi de l'argent vers le portefeuille de l'attaquant lorsqu'elles copient-collent l'adresse d'un portefeuille dans leurs transactions réelles. Cette campagne de logiciels malveillants a entraîné d'importantes pertes financières.
- Copybara Une campagne de trojan bancaire Android se propage via de de fausses applications usurpant l'identité d'applications financières populaires en Italie et en Espagne.. Les victimes reçoivent des instructions par téléphone (vishing) sur la manière d'installer le logiciel malveillant. Copybara abuse du service d'accessibilité d'Android et prend en charge les principales caractéristiques des chevaux de Troie bancaires, comme l'enregistrement des frappes, le vol de SMS, les attaques par superposition, le partage d'écran et la prise de contrôle à distance. Les dernières variantes mettent en œuvre le protocole MQTT pour la communication avec le serveur C2.
- Méta bloqué comptes WhatsApp malveillants en raison de leur rôle dans des campagnes d'hameçonnage contre des responsables politiques et diplomatiques et d'autres personnalités publiques. Cette activité est attribuée à l'acteur de menace APT42, parrainé par l'Iran.
- L'application cloud Sway, l'application de Microsoft, est utilisée à mauvais escient pour diffuser des messages d'hameçonnage par code QR (quishing). Ces messages visent à rediriger les victimes vers un site web d'hameçonnage sur leurs appareils mobiles (de préférence BYOD), qui sont censés être moins protégés que leurs ordinateurs portables ou de bureau.qui sont censés être moins protégés que leurs ordinateurs portables ou de bureau. Les sites web de phishing sont déguisés en pages de connexion à Microsoft 365 afin de voler les informations d'identification de l'utilisateur.
- NGate logiciel malveillant Android transmet les données NFC d'une carte de paiement physique à un téléphone contrôlé par l'attaquant via une application malveillante installée sur le téléphone Android de la victime. L'attaquant utilise ensuite les données pour émuler la carte et retirer de l'argent à un distributeur automatique. NGate cible les clients des banques tchèques.
- Campagnes d'hameçonnage PWA et WebAPK d'hameçonnage ciblent principalement les clients des banques tchèques, mais aussi hongroises et géorgiennes, sur les plateformes Android et iOS. Ces nouvelles techniques permettent de contourner les messages d'avertissement concernant l'installation d'applications tierces tout en incitant les victimes à installer de fausses applications. La méthode de l'application Web progressive (PWA) cible les deux plateformes, tandis que la méthode WebAPK ne s'applique qu'à Android. Deux acteurs différents utilisent activement ces techniques.
- L'arnaque au stationnement Les escroqueries aux parkings sont de plus en plus nombreuses au Royaume-Uni. Grâce à des codes QR placés sur les machines de paiement, les victimes sont redirigées vers un site web de phishing qui se fait passer pour une application de paiement de parking légitime. site web d'hameçonnage qui se fait passer pour une application légitime de paiement de stationnement..
- Rocinante Trojan bancaire Android exploite le service d'accessibilité d'Android pour voler des informations d'identification bancaires et commettre des fraudes sur l'appareil. Il est capable d'effectuer des enregistrements de frappe, des attaques de phishing et des sessions d'accès à distance sur l'appareil de la victime. Ce logiciel malveillant se fait passer pour une application bancaire ou de sécurité et est distribué par le biais de sites web d'hameçonnage. Rocinante cible principalement les banques brésiliennes.
- SpyAgent Ce logiciel espion pour Android vole les images de l'appareil de la victime. Il les analyse sur le serveur et extrait les clés de récupération des portefeuilles de crypto-monnaies. Plus de 280 fausses applications ont été détectées dans le cadre de cette campagne de logiciels malveillants ciblant les utilisateurs en Corée du Sud depuis janvier.
- Le Telegram est interdite sur les appareils officiels des représentants du gouvernement, du personnel militaire, des employés du secteur de la sécurité et de la défense et des entreprises exploitant des infrastructures critiques en Ukraine en raison de cyberattaques, diffusion de phishing et de logiciels malveillants, et géolocalisation des utilisateurs.. Parallèlement, la police sud-coréenne enquête sur Telegram sur la diffusion de deepfakes à caractère sexuel. Telegram a rapidement retiré le contenu demandé de sa plateforme.
- TrickMo Le cheval de Troie bancaire Android a été amélioré grâce à de nouveaux mécanismes anti-analyse tels que la structure ZIP malformée et JSONPacker. Sa cible principale reste les applications bancaires en Europe, en particulier en Allemagne, mais il a également développé des fonctionnalités de vol d'informations qui peuvent conduire à l'usurpation d'identité. Comme beaucoup d'autres, TrickMo abuse du service d'accessibilité d'Android et effectue des attaques par superposition.
- Xeon Sender est un autre outil pour pour lancer des campagnes de spam et de smishing par SMS via les API de fournisseurs SaaS légitimes. Il s'appuie sur des informations d'identification valides plutôt que d'exploiter des vulnérabilités. Il peut envoyer des SMS en masse par l'intermédiaire de neuf fournisseurs de services SMS différents.
Vulnérabilités et correctifs
- Google a corrigé une vulnérabilité d'escalade de privilèges activement exploitée (CVE-2024-32896) pour tous les appareils dans le niveau de correctif de sécurité 2024-09-01. Elle n'a été corrigée que pour les appareils Pixel dans le patch précédent 2024-06-01 précédent.
- WhatsApp bug permet à quiconque de contourner la fonction de confidentialité "View Once".
- GitLab a corrigé des vulnérabilités critiques (CVE-2024-6678 et CVE-2024-45409). Toutes les installations autogérées de GitLab doivent être mises à jour immédiatement.
Rapports de renseignement
- Le groupe d'analyse des menaces (TAG) de Google rapporte que des acteurs de la menace soutenus par des États, tels que l'APT29 russe, utilisent des exploits n-day très similaires pour iOS et Android, précédemment utilisés par des fournisseurs de systèmes de surveillance commerciaux. Bien que les correctifs aient été publiés il y a un certain temps, les acteurs de la menace savent qu'ils trouveront toujours des appareils non corrigés.
- L'évolution des menaces informatiques de Kaspersky L'évolution des menaces informatiques dans le rapport Q2 2024 Mobile Statistics montre que les paquets uniques d'installation de troyens bancaires Android (ABT) ont augmenté de 11 % par rapport au premier trimestre 2024. Le nombre total d'attaques a diminué en raison de la forte baisse de l'activité des logiciels publicitaires, tandis que les attaques contre les applications bancaires ont encore augmenté.
- Rapport de Recorded Future Le rapport "Predator Spyware Infrastructure Returns Following Exposure and Sanctions" (L'infrastructure du logiciel espion Predator revient après avoir été exposée et sanctionnée) indique le renforcement de la sécurité opérationnelle de l'infrastructure Predator, un logiciel espion mercenaire sophistiqué pour les appareils Android et iPhone.
- Joker, Anubis et Hydra sont les trois principaux malwares mobiles du mois d'août, selon le rapport de rapport de Check Point sur les logiciels malveillants les plus recherchés.
- Le rapport du projet rapport du projet Mythical Beasts révèle les liens entre 435 entités réparties dans quarante-deux pays sur le marché mondial des logiciels espions. Il fournit une analyse détaillée du marché des logiciels espions, peu réglementé et largement méconnu.
- Le rapport du FBI sur la fraude aux crypto-monnaies Cryptocurrency Fraud Report 2023 (Rapport sur les fraudes aux crypto-monnaies 2023) du FBI montre une augmentation stupéfiante de 45 % des pertes liées aux fraudes aux crypto-monnaies.
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit