Alors que les applications mobiles et les appareils connectés non gérés continuent de dominer les marchés personnels et professionnels, la nécessité d'une cybersécurité complète pour protéger ces actifs numériques critiques n'a jamais été aussi urgente. 

La liste de surveillance des menaces liées aux applications mobiles ci-dessous, compilée par les spécialistes des données de VMX Labs, présente une vue d'ensemble de 100 des menaces les plus importantes pour les applications mobiles les plus importantes trouvées jusqu'à présent en 2024.

Menaces liées aux applications mobiles #1-25

  1. Le cheval de Troie bancaire BingoMod Android utilise le service d'accessibilité d'Android pour réaliser des fraudes sur les appareils. Il utilise l'enregistrement des frappes, l'interception des SMS et le partage d'écran interactif à distance pour voler des fonds sur les comptes bancaires de la victime. Il peut également effectuer du phishing sur l'appareil à l'aide de webinjects. Ce logiciel malveillant est encore en cours de développement.
  2. Le cheval de Troie bancaire Blankbot Android, comme beaucoup d'autres, abuse du service d'accessibilité d'Android. Il prend en charge les principales caractéristiques des chevaux de Troie bancaires, telles que les injections, l'enregistrement de frappe, l'enregistrement d'écran et la fraude sur l'appareil. Il peut créer des injections personnalisées et, vraisemblablement, cibler les utilisateurs de services bancaires mobiles en Turquie. Ce logiciel malveillant est encore en cours de développement.
  3. Le logiciel espion mercenaire de Candiru a été utilisé pour tenter d'accéder au téléphone portable d'un membre du Parlement européen.
  4. Le cheval de Troie bancaire Android Chameleon, déguisé en application de gestion de la relation client (CRM) d'une chaîne de restaurants canadienne opérant à l'échelle internationale, cible les employés de la chaîne au Canada et en Europe (probablement au Royaume-Uni et en Espagne). Les cybercriminels cherchent probablement à infecter un employé d'entreprise ayant accès aux comptes bancaires de l'entreprise afin de voler des montants plus importants en une seule fois. Les organisations financières devraient se préoccuper du risque accru d'attaques de logiciels malveillants mobiles contre les comptes professionnels accessibles à partir d'appareils mobiles.
  5. Le groupe de menace Daggerfly, également connu sous les noms de Evasive Panda et Bronze Highland, a mis à jour sa panoplie d'outils. Les nouveaux outils ont été observés pour la première fois lors d'attaques contre des organisations à Taïwan. Daggerfly utilise une bibliothèque ou un cadre unique et partagé pour créer des logiciels malveillants pour différentes plateformes, y compris le système d'exploitation Android. Il est également capable de transformer des applications Android en chevaux de Troie.
  6. La campagne d'escroquerie au commerce électronique d'ERIAKOS cible les utilisateurs de Facebook, qui accèdent aux sites Web frauduleux exclusivement à l'aide d'appareils mobiles, par le biais de leurres publicitaires. Cela devrait permettre de protéger les sites frauduleux contre les scanners web.
  7. EvilVideo, une vulnérabilité dans l'application Telegram pour Android, permet à une application malveillante d'apparaître comme un fichier vidéo dans la vue du chat de la victime. Elle augmente ainsi les chances de tromper les utilisateurs de Telegram et de les inciter à installer des applications malveillantes. Cette faille a été corrigée dans la version 10.14.5 de l'application.
  8. Les trojans bancaires Android Gigabud et GoldDigger ont très probablement été développés par le même acteur de menace en raison des nombreuses ressemblances dans leurs codes sources. L'acteur de la menace a récemment étendu ses opérations de l'Asie du Sud-Est à d'autres régions, notamment le Bangladesh, l'Indonésie, le Mexique, l'Afrique du Sud et l'Éthiopie.
  9. Le groupe cybercriminel GXC Team développe principalement des kits de phishing et des logiciels malveillants de vol de SMS Android et propose un modèle d'abonnement pour y accéder. Ses cibles actuelles sont principalement des banques espagnoles, mais des kits d'hameçonnage pour une grande variété d'entreprises (services fiscaux et gouvernementaux, commerce électronique, banques et bourses de crypto-monnaies) aux États-Unis, au Royaume-Uni, en Slovaquie et au Brésil sont également disponibles.
  10. Les applications de rencontres basées sur la localisation (LBD) contiennent des données sensibles. Les chercheurs ont découvert que 6 des 15 applications LBD divulguent la localisation exacte des utilisateurs, ce qui constitue une menace physique pour la sécurité des utilisateurs.
  11. Le logiciel espion pour Android LianSpy cible les utilisateurs en Russie. Il obtient des privilèges de racine et présente de nouvelles fonctionnalités par rapport aux logiciels espions à motivation financière, ce qui indique probablement un passé de mercenaire. Il exfiltre des données sensibles de l'appareil de la victime, des fichiers personnels et des applications de messagerie instantanée.
  12. Les données des utilisateurs de l'application internationale de géolocalisation des familles Life360 , y compris les numéros de téléphone, ont été divulguées, probablement en raison d'une faille dans le point de terminaison de l'API de connexion. 442 519 utilisateurs ont été touchés.
  13. Le logiciel espion Mandrake Android n'a pas été détecté dans le Google Play Store depuis 2022 et a été téléchargé 32 000 fois au total. La plupart des téléchargements proviennent du Canada, de l'Allemagne, de l'Italie, du Mexique, de l'Espagne, du Pérou et du Royaume-Uni. Cette dernière version de Mandrake est équipée de techniques améliorées d'évasion de défense et d'anti-analyse. Ses principaux objectifs sont de voler les informations d'identification de l'utilisateur et d'installer des applications malveillantes à l'étape suivante.
  14. Mobile Guardian, une suite d'applications de gestion d'appareils largement utilisée dans les écoles de Singapour, a été victime d'une faille de sécurité. Les cybercriminels ont retiré les appareils iOS de la plateforme et ont effacé à distance les appareils d'apprentissage des élèves. Il s'agit d'environ 13 000 appareils à Singapour.
  15. Le logiciel espion Android Ratel, qui se fait passer pour le jeu de clics Hamster Combat, cible les utilisateurs d'Android en Russie. Le logiciel espion est distribué via Telegram. Il vole les notifications de plus de 200 applications et s'abonne à des services premium en utilisant les fonds de la victime. Il peut également vérifier le solde bancaire de la victime dans une banque bien connue.
  16. Smishing Triad, un acteur chinois spécialisé dans le smishing, se fait passer pour India Post dans sa dernière campagne visant à voler les informations des cartes de débit/crédit des utilisateurs d'iPhone en Inde. Ils envoient aux victimes un iMessage contenant une URL vers le site web de phishing, qui perçoit des frais de livraison.
  17. Les campagnes de logiciels malveillants par vol de SMS se multiplient. Les acteurs de la menace abusent des grandes marques bancaires en Inde pour inciter les utilisateurs de services bancaires mobiles à installer des logiciels malveillants Android.
  18. Une campagne de logiciels malveillants voleurs de SMS, qui se propage dans de nombreux pays, s'est révélée être l'épine dorsale d'un service de numéros de téléphone virtuels. Ces services sont couramment utilisés par les cybercriminels pour vérifier les SMS et enregistrer de faux comptes sur des sites web et des applications légitimes.
  19. Les données des utilisateurs de l'application Authy d'authentification à deux facteurs (2FA), y compris les numéros de téléphone, ont été divulguées en raison d'un point de terminaison API non authentifié. Tous les utilisateurs doivent mettre à jour l'application et faire attention aux attaques de phishing et de smishing. Plus tard dans le mois, AT&T a également annoncé une fuite de journaux d'appels de clients mobiles provenant d'une violation de données d'une tierce partie qui a exposé un grand nombre de numéros de téléphone valides.
  20. Le cheval de Troie bancaire Android AzraelBot (ABT) cible les utilisateurs de services bancaires mobiles dans le monde entier par le biais d'attaques manuelles et automatiques par superposition.
  21. Une campagne de logiciels malveillants Craxs RAT Android ciblant les utilisateurs de services bancaires mobiles à Singapour a été révélée. La campagne distribue de fausses applications mobiles via des sites web de phishing se faisant passer pour des plateformes locales d'achat en ligne et de nombreuses petites entreprises.
  22. Le logiciel de surveillance Android GuardZoo, attribué à un acteur yéménite, aligné sur les Houthis, cible le personnel militaire au Moyen-Orient. Il peut installer une charge utile de deuxième niveau sur l'appareil de la victime. La méthode initiale de diffusion du logiciel malveillant est via WhatsApp, WhatsApp Business et le téléchargement direct via le navigateur.
  23. Konfety, une campagne de fraude publicitaire massive, utilise une nouvelle méthode de jumeaux diaboliques pour dissimuler le trafic frauduleux.
  24. Le trojan bancaire Android Medusa (ABT), également connu sous le nom de TangleBot, a évolué vers une version plus compacte afin d'échapper aux détections tout en ajoutant de nouvelles capacités telles que les attaques par superposition et la désinstallation d'applications . Il a été observé que les acteurs de la menace distribuant Medusa ABT ont commencé à incorporer des droppers dans leurs processus de distribution. Cinq campagnes Medusa ciblant des utilisateurs en Turquie, au Canada, aux États-Unis, en Espagne, en France, en Italie et au Royaume-Uni ont été découvertes.
  25. Apple a envoyé aux utilisateurs d'iPhone de 98 pays des avertissements concernant l'attaque du logiciel espion Mercenary. Une alerte similaire a été envoyée aux utilisateurs de 92 pays en avril. Ces attaques sophistiquées sont ciblées, répandues et souvent utilisées par les États-nations pour surveiller les journalistes, les activistes, les politiciens ou les diplomates.

Menaces pour les applications mobiles #26-50

  1. Le groupe de menace OilAlpha surveille les organisations humanitaires au Yémen et, peut-être, au Moyen-Orient avec des variantes du logiciel espion Android SpyNote.
  2. Les attaques de quuishing, des codes QR malveillants qui redirigent les utilisateurs de mobiles vers des sites de phishing ou leur font télécharger des logiciels malveillants, ont rapidement augmenté en 2024. Une récente campagne de quishing cible les ressortissants chinois avec de faux documents officiels du gouvernement et trompe les victimes en leur faisant divulguer leurs identifiants bancaires pour vérification d'identité.
  3. Rafel RAT, un outil d'administration à distance open-source, est souvent utilisé à des fins d'extorsion (ransomware) et de vol de données sensibles (spyware) comme le vol de mots de passe à usage unique (OTP). Les campagnes de Rafel RAT ciblent principalement les utilisateurs d'Android aux États-Unis, en Chine et en Indonésie, mais des victimes ont également été trouvées dans d'autres pays. La plupart des appareils des victimes (87,5 %) utilisent des versions d'Android obsolètes.
  4. Les comptes Singpass, l'identité numérique de confiance des citoyens et résidents de Singapour, sont volés et vendus sur le dark web. Le nombre total de vendeurs clandestins proposant des données d'identité singapouriennes volées a augmenté de 230 %. On observe que les cybercriminels utilisent Nexus ABT pour voler les informations d'identification SingPass à partir d'appareils Android, entre autres.
  5. Les attaques par smishing ont augmenté de 7 % aux États-Unis. Les attaques liées à l'élection présidentielle de 2024 sont en hausse.
  6. Smishing Triad, un acteur chinois spécialisé dans le smishing, se fait passer pour des sociétés postales telles que India Post, Singapore Post, La Poste et bien d'autres dans sa dernière campagne. Ils utilisent des comptes iCloud compromis ou générés pour distribuer les URL de phishing avec des iMessages.
  7. Le logiciel malveillant Android Snowblind utilise une technique de reconditionnement reposant sur la fonction seccomp du noyau Linux pour contourner les contre-mesures anti-piratage des applications et dissimuler ses abus en matière de services d'accessibilité. Il cible l'Asie du Sud-Est.
  8. Le RAT SpyMax déguisé en application Telegram a été démasqué.
  9. Des échantillons de logiciels espions SpyNote Android se faisant passer pour des applications légitimes telles que Google Translate, Temp Mail et Deutsche Postbank ont été découverts dans des répertoires ouverts.
  10. Le groupe APT Transparent Tribe a mis à jour CapraRAT afin de pouvoir cibler les nouvelles versions d'Android. Les derniers échantillons montrent que l'acteur de la menace continue d'utiliser des applications de navigation vidéo pour distribuer des logiciels espions et surveiller ses cibles.
  11. Le cheval de Troie bancaire Android Anatsa, également connu sous le nom de Teabot, se propage via le Google Play Store. Deux applications malveillantes (PDF Reader et QR Reader) avec plus de 70 000 téléchargements ont été identifiées. Ces applications sont d'abord bénignes, puis elles ajoutent des charges utiles malveillantes d'Anatsa afin d'échapper aux détections. Dès son installation, Anatsa exfiltre des informations bancaires sensibles et des informations financières des applications financières de la victime. La plupart du temps, des attaques par superposition et des abus de services d'accessibilité sont utilisés. Les campagnes d'Anatsa ciblent généralement les utilisateurs de services bancaires mobiles aux États-Unis et au Royaume-Uni, mais elles se sont récemment étendues à l'Allemagne, à l'Espagne, à la Finlande, à la Corée du Sud et à Singapour.
  12. Un cheval de Troie bancaire Android Antidot a été découvert. Il est distribué sous la forme d'une application de mise à jour Google Play prenant en charge plusieurs langues. Il peut effectuer des attaques par superposition, l'enregistrement des frappes et le contrôle à distance des appareils (informatique en réseau virtuelle).
  13. Le groupe APT Arid Viper intègre des logiciels espions dans des applications légitimes et les utilise dans des campagnes d'espionnage contre des cibles en Égypte et en Palestine.
  14. La campagne du trojan bancaire Android Bankbot cible les utilisateurs de services bancaires mobiles en Ouzbékistan.
  15. CraxsRAT, une variante avancée de SpyNote, est utilisée activement en Amérique latine pour attaquer les applications de services bancaires et financiers mobiles. Les acteurs de la menace utilisent à mauvais escient des marques bien connues de banques et de télécommunications pour inciter les utilisateurs d'Android à installer de fausses applications malveillantes.
  16. GitCaught, des acteurs de la menace russophones abusent activement de services Internet légitimes tels que GitHub pour distribuer une collection de familles de logiciels malveillants. Les logiciels malveillants utilisés dans l'attaque sont déterminés en fonction du système d'exploitation et de l'architecture de l'ordinateur de la victime. Le cheval de Troie bancaire Octo Android est utilisé pour les plateformes Android.
  17. Des dépôts de code source d'applications mobiles du New York Times, y compris le jeu populaire Wordle et les actualités sportives Athletic, ont fait l'objet d'une fuite de données. Les utilisateurs d'applications mobiles doivent se méfier des versions malveillantes de ces applications.
  18. L'opération Celestial Force déploie le logiciel malveillant Android GravityRAT pour des opérations d'espionnage et de surveillance contre des cibles de grande valeur en Inde. Cette campagne de logiciels malveillants est menée par l'acteur pakistanais Cosmic Leopard.
  19. L'application de harcèlement pcTattletale est installée dans les systèmes d'enregistrement des hôtels pour voler les informations de réservation des clients. Elle est disponible pour les plateformes Windows et Android et permet de surveiller les écrans des appareils à distance. En plus de l'utilisation malveillante, l'API de l'application présente une faille critique qui permet à un pirate d'exfiltrer les enregistrements d'écran les plus récents.
  20. Les protections contre le smishing des opérateurs de télécommunications peuvent être déjouées par une tour de téléphonie cellulaire de fabrication artisanale. Deux suspects ont été arrêtés. Cette technique est considérée comme la première du genre au Royaume-Uni.
  21. Le logiciel espion SpyNote Android se fait passer pour une application antivirus Avast et est distribué via de faux sites web d'apparence légitime.
  22. L'acteur Storm-0539 cible les employés des entreprises américaines de vente au détail avec des messages d'hameçonnage sur leurs appareils mobiles personnels et professionnels afin de frauder les cartes de paiement et les cartes cadeaux.
  23. Les trojans bancaires Android Vultur, déguisés en applications de sécurité de marques connues, sont utilisés contre les utilisateurs finlandais de services bancaires mobiles.
  24. Le cheval de Troie bancaire Brokewell pour Android possède des capacités étendues de prise de contrôle des appareils, bien qu'il soit encore en phase active de développement et qu'il reçoive des mises à jour quotidiennes. Comme la plupart des malwares bancaires Android, il peut effectuer des attaques superposées en abusant du service d'accessibilité d'Android. En outre, les cybercriminels à l'origine des opérations Brokewell ont mis au point un chargeur permettant de contourner les contre-mesures d'Android 13+ contre l'abus du service d'accessibilité et l'ont mis en libre accès.
  25. L'attaque par flux sale exploite une vulnérabilité de traversée de chemin trouvée dans des applications Android populaires, téléchargées plus de quatre milliards de fois à partir du Google Play Store, qui permet à une application malveillante d'écraser des fichiers dans le répertoire d'origine de l'application cible. Selon l'implémentation de l'application vulnérable, l'exécution de code arbitraire et le vol de jetons sont également possibles.

Menaces pour les applications mobiles #51-75

  1. La campagne du logiciel espion LightSpy pour iOS cible l'Asie du Sud et probablement l'Inde. Il vole des documents et des fichiers personnels dans les applicationsLightSpy enregistre furtivement les sons ambiants à partir du microphone de l'appareil et prend des photos à l'aide de l'appareil photo, surveille l'activité de l'utilisateur et récupère des données sensibles à partir du stockage sécurisé de l'utilisateur.
  2. Se faire passer pour une application connue est une tactique très répandue pour les trojans d'accès à distance sur Android afin d'inciter les victimes à les installer. Certains utilisent l'hameçonnage sur l'appareil comme principal vecteur d'attaque. Ils demandent des autorisations pour le service d'accessibilité et l'administration de l'appareil. De faux formulaires de connexion de marques ciblées apparaissent de temps à autre sur l'écran de l'appareil pour voler les informations d'identification de l'utilisateur.
  3. Apple a envoyé aux utilisateurs d'iPhone de 92 pays des avertissements concernant des attaques de logiciels espions mercenaires. Ces attaques sophistiquées sont très ciblées et souvent utilisées pour la surveillance de journalistes, d'activistes, de politiciens ou de diplomates par des États-nations.
  4. Des leurres d'échange de cartes SIM sont proposés aux employés d'entreprises de télécommunications américaines pour les inciter à procéder à des échanges illégaux de cartes SIM. Les cybercriminels reçoivent les codes d'authentification à deux facteurs envoyés à la victime par la suite et prennent le contrôle des comptes de la victime.
  5. Des campagnes de smishing ( escroquerie au péage non payé) sont menées dans trois États des États-Unis.
  6. SoumniBot, un cheval de Troie bancaire Android, cible les utilisateurs de services bancaires mobiles en Corée. Ses développeurs ont appliqué des techniques d'obscurcissement non conventionnelles au fichier manifeste, ce qui a permis d'échapper à la détection des outils standard. En particulier, ce cheval de Troie bancaire trouve et exfiltre des certificats numériques, tels que ceux utilisés pour se connecter à des comptes bancaires en ligne ou pour exécuter des transactions.
  7. Storm-0539, acteur de la menace, cible les employés d'entreprises américaines de vente au détail par des attaques de phishing sophistiquées sur leurs appareils mobiles personnels et professionnels. Une fois les informations d'identification d'un employé compromises, les adversaires accèdent au réseau de l'entreprise et y recueillent des informations afin d'identifier les processus commerciaux liés aux cartes-cadeaux et de se tourner vers des employés spécifiques dont les comptes permettent aux attaquants de créer des cartes-cadeaux frauduleuses.
  8. La campagne du cheval de Troie bancaire Android Vultur cible les utilisateurs de services bancaires mobiles en Finlande.
  9. Le cheval de Troie Android Wpeeper utilise des sites web WordPress compromis comme proxy vers ses véritables serveurs de commande et de contrôle (C2). Cette technique rend difficile le repérage des serveurs C2. Des applications reconditionnées sont utilisées pour diffuser ce logiciel malveillant afin d'échapper à la détection. Un petit implant dans l'application reconditionnée télécharge la charge utile malveillante. La campagne d'attaque a été interrompue brusquement quatre jours après l'observation ; par conséquent, les intentions de l'acteur de la menace n'ont pas encore été véritablement comprises.
  10. Coper et Octo, les descendants du cheval de Troie bancaire Android Exobot, sont activement utilisés pour cibler les utilisateurs de services bancaires en ligne au Portugal, en Espagne, en Turquie et aux États-Unis. Ils mettent en œuvre les techniques d'attaque standard des logiciels malveillants bancaires Android avancés et abusent du service d'accessibilité d'Android. Les techniques les plus remarquables sont les attaques par superposition, l'enregistrement des frappes, le partage d'écran pour l'accès à distance et le contrôle des SMS et des notifications push.
  11. Le trojan bancaire Android CriminalMW cible 10 banques brésiliennes par l'intermédiaire de la plateforme de paiement instantané PIX. Cette menace en évolution rapide est la troisième édition de la famille de logiciels malveillants, précédemment GoatRAT et FantasyMW, du même acteur de menace en un an. Il utilise principalement un système de transfert automatisé (ATS) activé par un abus de service d'accessibilité pour exécuter une transaction PIX à partir de l'application bancaire de la victime. Il est proposé à la location pour 5 000 dollars par mois.
  12. La campagne d'espionnage eXotic Visit déploie le logiciel malveillant open-source XploitSPY pour cibler les personnes à haut risque, principalement au Pakistan et en Inde. Il se fait passer pour une application de messagerie légitime et parvient parfois à s'infiltrer dans le Google Play Store. Le nombre très faible de téléchargements dans le Play Store indique que cette campagne est ciblée.
  13. Une fausse application Leather Wallet a été trouvée dans l'App Store d'Apple. Il s'agit d'une application de drainage de crypto-monnaie conçue pour voler la phrase de passe de la victime et transférer tous les actifs numériques vers un portefeuille contrôlé par les cybercriminels. La fausse application a été retirée de la boutique officielle après avoir été disponible pendant plus de deux semaines. Les "crypto drainers" sont devenus très courants ces dernières années avec la popularité croissante des crypto-monnaies, et leur présence dans les boutiques d'applications officielles est alarmante.
  14. Le logiciel espion FlexStarling Android est distribué par l'acteur de menace Starry Addax pour cibler les militants des droits de l'homme en Afrique du Nord.
  15. L'application de rencontres Hornet avait l'habitude de divulguer la position de ses utilisateurs avec une précision de 10 mètres, même s'ils n'autorisaient pas le partage de leur position. Des mises à jour récentes ont permis de réduire le risque à une précision de 50 mètres.
  16. Plusieurs utilisateurs d'iPhone ont récemment signalé des attaques par fatigue liées à l'authentification multifactorielle. Il s'avère qu'un bogue dans la fonction de réinitialisation du mot de passe a permis à des attaquants d'envoyer un flot de notifications de réinitialisation du mot de passe de l'identifiant Apple.
  17. Le logiciel espion commercial Pegasus reste un outil essentiel pour espionner les utilisateurs d'iPhone à haut risque.
  18. PixPirate, un cheval de Troie bancaire Android spécialisé ciblant la plateforme de paiement instantané PIX au Brésil, utilise une nouvelle technique d'évasion de défense pour supprimer l'affichage de l'icône de son lanceur à la victime. Android 10 a introduit des contre-mesures pour empêcher les applications malveillantes de supprimer l'icône de leur lanceur, mais les acteurs de la menace ont trouvé un nouveau moyen de contourner ces changements.
  19. L'opération PROXYLIB a permis de découvrir 28 applications VPN malveillantes dans le Google Play Store qui transforment les téléphones des utilisateurs en services proxy sans les en informer. Il s'agit d'une technique de monétisation courante pour les applications VPN gratuites, et les cybercriminels achètent généralement ces services proxy pour dissimuler leurs opérations.
  20. Venmo, une application de paiement populaire, est utilisée à mauvais escient pour diffuser des courriels d'hameçonnage.
  21. Vultur, un cheval de Troie bancaire Android, a une nouvelle variante qui offre un meilleur contrôle de l'appareil infecté en abusant du service d'accessibilité et en améliorant les techniques d'évasion de la défense. Une nouvelle technique importante pour le garder sous le radar consiste à utiliser le nom officiel de la suite d'accessibilité Android pour son service d'accessibilité.
  22. Anatsa, un cheval de Troie bancaire Android également connu sous le nom de TeaBot, s'est étendu à de nouveaux pays lors d'une récente campagne. Outre le Royaume-Uni, l'Allemagne et l'Espagne, Anatsa est désormais présent en République tchèque, en Slovaquie et en Slovénie. Il abuse du service d'accessibilité d'Android et exécute des transactions frauduleuses sur l'appareil de la victime.
  23. GoldPickaxe, la dernière variante de la famille de chevaux de Troie bancaires Android GoldDigger du groupe de menace GoldFactory, est devenue plus puissante avec la capacité de cibler à la fois les plateformes Android et iOS. L'acteur de la menace a développé deux versions différentes du malware pour pouvoir attaquer les utilisateurs de services bancaires mobiles en Thaïlande et probablement au Vietnam, quelle que soit la plateforme. Il présente notamment des techniques émergentes pour contourner la nouvelle mesure de sécurité de vérification biométrique faciale utilisée dans les transactions bancaires en Thaïlande. La version Android du cheval de Troie abuse du service d'accessibilité et effectue des attaques par superposition.
  24. I-Soon, un sous-traitant des agences d'État chinoises pour les campagnes de piratage et d'espionnage à l'étranger, a été victime d'une faille de sécurité. Une riche collection de documents internes montrant les services offerts par l'entreprise technologique, y compris l'espionnage des appareils Android et iOS, a fait l'objet d'une fuite.
  25. Joker, un RAT Android également connu sous le nom de Copybara, a été utilisé dans une campagne d'attaque active ciblant l'Espagne, l'Italie et le Royaume-Uni. Les victimes sont dirigées vers un site web d'hameçonnage usurpant l'identité de banques célèbres, et elles chargent latéralement une fausse application bancaire à l'aide de techniques d'ingénierie sociale de type smishing et vishing. Cette application contient le cheval de Troie Joker et réalise des fraudes sur l'appareil (ODF), qui ne laissent pas de traces de risque traditionnelles et constituent un véritable défi pour les systèmes anti-fraude des institutions financières. Elle abuse du service d'accessibilité d'Android et exécute des attaques standard telles que l'incrustation, l'enregistrement de frappe et la prise de contrôle à distance (VNC).

Menaces pour les applications mobiles #76-100

  1. Samecoin, une campagne d'attaque qui trompe les citoyens israéliens en se faisant passer pour la Direction nationale israélienne de la cybernétique, distribue une application Android malveillante et efface les téléphones portables des victimes.
  2. Les applications pour casques de ski et de vélo intelligents d'une marque populaire présentent une simple faille de sécurité qui expose les données de localisation en temps réel et les conversations audio de leurs utilisateurs.
  3. SpyNote Android RAT se propage via de fausses applications de vidéoconférence se faisant passer pour Google Meet, Skype et Zoom dans le cadre d'une nouvelle campagne d'attaque. Tous les sites web utilisés pour la distribution des fausses applications étaient hébergés sur la même adresse IP et tout le contenu était rédigé en russe, ce qui donne un aperçu des personnes ciblées par cette campagne.
  4. Teabot, un cheval de Troie bancaire Android également connu sous le nom d'Anatsa, a augmenté son activité dans plusieurs pays européens. Il se propage par le biais d'une application de dropper dans le Google Play Store et réalise une fraude de prise de contrôle de compte (ATO) pour voler ses victimes en utilisant abusivement les autorisations d'accessibilité.
  5. L'attaque VoltSchemer démontre une nouvelle façon d'injecter des commandes vocales inaudibles dans l'assistant vocal d'un smartphone en charge en manipulant simplement la source d'énergie du chargeur sans fil.
  6. Une copie de l'application mobile LastPass a été trouvée dans l'App Store d'Apple. L'application frauduleuse s'appelle LassPass Password Manager et a déjà été retirée de la boutique officielle. Les applications de gestion de mots de passe stockent les informations d'identification des utilisateurs et sont donc la cible privilégiée des cybercriminels.
  7. La fonction AirDrop d'Apple serait décodée par le Beijing Wangshendongjian Judicial Appraisal Institute. Ce laboratoire de police scientifique a conçu pour les autorités chinoises un outil permettant de déchiffrer le numéro de téléphone et l'adresse électronique de l'expéditeur d'AirDrop à partir du journal de bord de l'iPhone du destinataire. Il utilise des tables arc-en-ciel pour révéler les informations de l'expéditeur.
  8. L'application mobile Fake Scameter est utilisée pour escroquer les Hongkongais. Ironiquement, l'application originale est conçue pour aider le public à identifier les escroqueries.
  9. Les applications iOS peuvent abuser des notifications push pour transmettre des données analytiques et des informations sur l'appareil. iOS n'autorise pas les applications à fonctionner en arrière-plan, mais il leur permet de traiter les notifications push pendant un court laps de temps avant de les présenter aux utilisateurs. Il a été découvert que certaines applications gourmandes en données utilisent ce laps de temps pour collecter et communiquer des données, qui peuvent être utilisées pour relever les empreintes digitales et suivre les utilisateurs, même s'ils n'utilisent pas du tout l'application.
  10. MavenGate est une attaque de la chaîne logistique récemment découverte qui peut infecter des applications Java et Android par le biais de dépendances non maintenues et abandonnées. Toute bibliothèque est liée à un domaine basé sur son nom dans les produits Maven, y compris le célèbre outil de construction Gradle. À l'expiration d'un domaine de projet, un acteur malveillant peut réenregistrer ce domaine et s'approprier le projet. Par conséquent, une version malveillante de la bibliothèque peut être distribuée en tant que nouvelle version ou remplacer une version existante.
  11. Moqhao, également connu sous le nom de XLoader, est un logiciel malveillant Android déployé par la campagne Roaming Mantis. La dernière variante dispose d'une nouvelle capacité. Elle se lance automatiquement après l'installation sans interaction de l'utilisateur. Cette variante cible les utilisateurs d'Android principalement au Japon et en Corée du Sud, mais aussi en France, en Allemagne et en Inde. Elle attaque les victimes en diffusant des messages d'hameçonnage à des fins financières.
  12. Les escroqueries à la romance ont augmenté de 22 % l'année dernière. En moyenne, 6 937 livres sterling ont été volées par victime. Les médias sociaux et les applications de rencontre sont généralement utilisés à mauvais escient par les escrocs pour attirer leurs victimes.
  13. L'attaque par injection de touches non authentifiées dans le Bluetooth peut déclencher une réinitialisation d'usine et effacer à distance les données d'un téléphone portable. La vulnérabilité Bluetooth qui permet cette attaque a été corrigée uniquement pour les appareils Android et iOS les plus récents.
  14. Deux compagnies d'assurance américaines ont informé 66 000 personnes que leurs informations personnelles avaient pu être volées lors d'attaques par échange de cartes SIM. L'authentification à deux facteurs basée sur une application protège contre cette attaque.
  15. VajraSpy, un logiciel espion pour Android développé par l'APT Patchwork, vole des contacts, des fichiers, des journaux d'appels et des messages SMS. Certaines variantes avancées peuvent également voler des messages WhatsApp et Signal, enregistrer des appels et prendre des photos. Patchwork distribue des applications trojanisées via le Google Play Store et des boutiques d'applications tierces pour cibler les utilisateurs pakistanais.
  16. Wizz app, une application de médias sociaux pour adolescents comptant environ 20 millions d'utilisateurs actifs, a été retirée de l'App Store d'Apple et du Play Store de Google en raison d'escroqueries à la sextorsion financière ciblant ses utilisateurs.
  17. Autospill est une nouvelle attaque sur Android qui vole les identifiants de connexion pendant qu'un gestionnaire de mot de passe remplit automatiquement les identifiants sauvegardés dans la page de connexion chargée dans WebView. WebView est un navigateur web intégré dans les applications natives pour rendre les pages web. Il garantit une expérience utilisateur transparente. La plupart des gestionnaires de mots de passe Android sont vulnérables à cette attaque. Tous les gestionnaires de mots de passe testés se révèlent vulnérables lorsque Javascript est activé dans WebView.
  18. BLUFFS (Bluetooth Forward and Future Secrecy Attacks and Defenses) rompt le secret des sessions Bluetooth. Il se compose de six attaques différentes exploitant des failles architecturales indépendantes du modèle matériel et de la version logicielle. Plusieurs modèles de smartphones iPhone, Pixel, Mi et Galaxy sont concernés.
  19. Le cheval de Troie bancaire Android Chameleon (ABT) a une nouvelle variante qui ajoute l'Italie et le Royaume-Uni à ses cibles existantes que sont l'Australie et la Pologne. Cette variante améliorée a modifié les instructions de l'utilisateur afin de contourner manuellement la contre-mesure des paramètres restreints d'Android 13 et d'accorder des autorisations au service Accessibility pour qu'il puisse en abuser. Elle met également en œuvre une autre approche pour détecter l'application au premier plan, qui déclenche l'attaque par superposition en l'absence d'autorisations du service d'accessibilité. Chameleon ABT est une menace active qui évolue avec des défenses améliorées.
  20. La recherche sur le faux mode verrouillage démontre une technique d'altération post-exploitation qui constitue une preuve de concept. Elle permet aux logiciels malveillants de faire croire aux victimes que leurs iPhones sont en mode verrouillage.
  21. Les agents ChatGPT malveillants peuvent exfiltrer des données sensibles dans les conversations vers des serveurs tiers sans le consentement de l'utilisateur. OpenAI a déjà mis en place un correctif pour l'application web ChatGPT. Les applications iOS (et probablement Android) ne sont pas encore corrigées.
  22. L'opération Triangulation a révélé le dernier exploit utilisé dans la chaîne d'attaque espionnant les iPhones des chercheurs en sécurité de Kaspersky. Il s'agit d'une fonctionnalité matérielle non documentée qui permet un accès direct à la mémoire cache. On ne sait pas encore comment les attaquants ont découvert cette fonctionnalité.
  23. Le groupe Smishing Triad est un acteur chinois spécialisé dans le smishing. Dans sa dernière campagne, il se fait passer pour l'Autorité fédérale des Émirats arabes unis pour l'identité et la citoyenneté afin de voler des informations personnelles identifiables (PII) et des données de cartes de crédit à des résidents des Émirats arabes unis et à des étrangers vivant dans le pays ou s'y rendant.
  24. SpyLoan, une famille d'applications de prêt malveillantes, a fait un bond en 2023. Ces applications exploitent les personnes dans le besoin en leur accordant des prêts à taux d'intérêt élevé et en les espionnant pour les faire chanter et collecter les fonds. Il s'agit d'un système de prêt usuraire numérique qui cible un public plus large en utilisant la technologie. Étant donné qu'il est possible d'accéder à des informations sensibles sur les utilisateurs par le biais d'applications mobiles, il y a toujours une application impliquée dans ce système. Certaines de ces applications se font même passer pour des marques bien connues de sociétés de services financiers.
  25. Xamalicious est un logiciel publicitaire pour Android qui a été téléchargé plus de 327 000 fois depuis le Play Store. Il abuse du service d'accessibilité d'Android pour cliquer sur des publicités et télécharger des applications sans contenu utilisateur. Il est réalisé avec le cadre Xamarin, ce qui apporte un autre niveau d'obscurcissement.