Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce tour d'horizon des menaces de cybersécurité est compilé par les chercheurs en cybersécurité et les scientifiques des données de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignements récents.
Informations sur les menaces
- Anatsa (également connu sous le nom de TeaBot) est un cheval de Troie bancaire Android sophistiqué doté de capacités avancées de prise de contrôle de comptes et d'appareils. Il propose environ 600 superpositions différentes pour voler les informations d'identification des utilisateurs d'applications financières.. Les institutions des États-Unis, du Royaume-Uni et de la région DACH sont visées par la dernière campagne en cours. 30 000 infections ont été signalées.
- CherryBlos est un nouveau logiciel malveillant Android spécialisé dans l'attaque des applications de portefeuilles de crypto-monnaies. Il effectue une attaque par superposition pour voler les informations d'identification et utilise des techniques de reconnaissance optique de caractères (OCR) pour extraire des phrases mnémoniques à partir des images du stockage externe. Il peut remplacer l'adresse du portefeuille du destinataire par une adresse contrôlée par l'attaquant et dissimuler la manipulation avec une autre superposition pendant les transactions.
- DoNot APT (également connu sous le nom d'APT-C-35 et SectorE02) s'est tournée vers les applications Android malveillantes pour collecter des informations et mener des opérations d'espionnage. pour la collecte d'informations et les opérations d'espionnage. Cet acteur de la menace cible actuellement les pays d'Asie du Sud.
- Fluhorse Pour la première fois, des logiciels malveillants pour Android sont découverts sous forme de paquets. Cela montre que les acteurs de la menace ont amélioré leurs techniques d'évasion AV de l'obscurcissement des chaînes de caractères au cryptage complet du code source des logiciels malveillants.
- GravityRAT Logiciel espion Android dans une application de messagerie instantanée open-source trojanisée a été découvert. La dernière version du logiciel malveillant présente deux nouvelles caractéristiques : Il peut supprimer des fichiers des smartphones et voler des messages WhatsApp à partir de sauvegardes.
- HelloTeacher Un logiciel malveillant Android cible spécifiquement les applications mobiles de trois banques vietnamiennes. L'acteur de la menace à l'origine de ce logiciel malveillant examine clairement les applications et développe des attaques sur mesure.
- Kimsuky APTsoutenu par la Corée du Nord, utilise de sites web, de portails ou d'applications mobiles pour voler des identifiants de connexion. pour voler des identifiants de connexion.
- LetscallLetscall est une boîte à outils de vishing complexe dotée de fonctionnalités de spyware et de RAT, cible les utilisateurs d'Android en Corée du Sud pour voler de l'argent sur les comptes bancaires des victimes.
- Neo_Net est l'acteur de la menace à l'origine d'une campagne mondiale de cybercriminalité contre les utilisateurs de services bancaires mobiles, en particulier en Espagne et au Chili. À l'aide d'outils et de techniques simples, l'auteur de la menace a pu voler plus de 350 000 euros et collecter des milliers d'informations personnelles identifiables (PII) de victimestelles que des noms, des numéros d'identification et des numéros de téléphone. La raison sous-jacente de ce succès, malgré la simplicité de l'opération, tient probablement à l'étude approfondie des cibles et à l'adaptation de l'infrastructure de l'attaque en conséquence.
- Opération TriangulationL'opération Triangulation est une campagne d'attaque sophistiquée qui consiste à installer des logiciels espions sur les appareils iOS à l'aide d'un exploit iMessage en zéro clic. exploit iMessage en zéro clica été révélée par Kaspersky.
- Plus de 60 000 applications mobiles différentes ont été découvertes comme contenant des logiciels publicitaires. Ces logiciels principalement les utilisateurs d'Android aux États-Unis. Il convient de préciser qu'aucune d'entre elles n'a été distribuée via le Google Play Store.
- Triada Android a été détecté dans une application mod Telegram. Les applications mod sont un moyen bien connu d'inciter les utilisateurs à installer des applications malveillantes de 3rd-partie.
- Deux applications malveillantes de gestion de fichiers du même développeur, téléchargées plus de 1,5 million de fois sur Google Play Store, exfiltrent furtivement les informations privées des utilisateurs, y compris les fichiers multimédias, vers des serveurs en Chine.
- La technologie WebAPK permet d'installer des applications web progressives sur les appareils Android en tant qu'applications natives. Les cybercriminels exploitent une faiblesse dans la conceptionLes cybercriminels exploitent une faiblesse dans la conception du WebAPK, qui permet aux victimes d'installer des applications malveillantes sur leurs appareils sans être averties de l'existence d'une source non fiable.
- Les spywares Android WyrmSpy et DragonEgg ont été attribués au groupe d'espionnage chinois APT41 par le biais d'une adresse IP C2 codée en dur, trouvée dans les premiers échantillons de WyrmSpy.
Vulnérabilités et correctifs
- La CISA ajoute trois vulnérabilités de type "zero-day" (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439), dont deux ont été utilisées dans l'opération Triangulation, à son catalogue de vulnérabilités exploitées connues. Ces trois problèmes ont été résolus dans les versions iOS 16.5.1 et iOS 15.7.7.
- La CISA ajoute six vulnérabilités (CVE-2021-25487, CVE-2021-25489, CVE-2021-25394, CVE-2021-25395, CVE-2021-25371, et CVE-2021-25372) dans les appareils mobiles Samsung à son catalogue de vulnérabilités exploitées connues. Elles ont déjà été corrigées en 2021.
- Les mises à jour de sécurité de juillet d'Android corrigent trois failles activement exploitées (CVE-2023-26083, CVE-2023-2136 et CVE-2021-29256).
- Apple a révisé la mise à jour de sécurité d'urgence, qui corrige la vulnérabilité zero-day de WebKit (CVE-2023-37450) exploitée dans la nature. Il s'agit de la dixième vulnérabilité zero-day corrigée par Apple depuis le début de l'année.
- La CISA ajoute trois vulnérabilités de type "zero-day" (CVE-2023-38606, CVE-2023-32409 et CVE-2023-37450) à son catalogue de vulnérabilités exploitées connues. Ces trois problèmes ont été résolus dans les versions iOS 16.6 et iOS 15.7.8.
Rapports de renseignement
- SpinOk, Anubis et AhMyth ont été les trois principaux malwares mobiles en juin 2023, selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
- Resecurity signale que les outils d'usurpation d'identité des appareils Android OS sont de plus en plus utilisés par les cybercriminels pour contourner les contrôles de prévention de la fraude mobile. Les institutions financières et les détaillants en ligne sont les principales cibles.
- L'ensemble des détections de menaces Android a augmenté de 20 % au premier semestre 2023 par rapport au second semestre 2022 dans le cadre de l'enquête sur les menaces. H1 2023 Rapport ESET sur les menaces.
- Le groupe d'analyse des menaces de Google (TAG) a publié le rapport "0-days exploités dans la nature en 2022". Rapport "0-days exploités à l'état sauvage en 2022. L'une des conclusions de ce rapport est l'importance d'une correction rapide des failles sur Android. Dans de nombreux cas, les correctifs n'ont pas été mis à la disposition des utilisateurs pendant longtemps et les cybercriminels ont exploité les vulnérabilités non corrigées mais connues du public.
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit