Le Bulletin Cyber - Décembre 2021

Le Bulletin Cyber EY : un condensé des dernières attaques par ransomware et les différents aspects de sécurisation des actions utilisateur.

Introduction

Cette nouvelle édition du Bulletin Cyber se penche sur les activités malveillantes ciblant les appareils mobiles Android. Ces derniers représentent un potentiel d’attaque conséquent et les acteurs malveillants en ont bien conscience avec plus de 300 000 infections par trojan bancaire détecté sur le Google Play au cours des 4 derniers mois. Ces acteurs malveillants exploitent, la plupart du temps, des vulnérabilités des systèmes Android non à jour. C’est dans le but de freiner ces attaques que Google a publié son Bulletin de sécurité Android détaillant la correction de plusieurs vulnérabilités critiques et majeures sur les systèmes Android. Pour finir, nous mettrons les projecteurs sur Sharkbot, un malware Android ciblant les comptes bancaires et portefeuilles de cryptomonnaies ; et sur les activités du nouveau malware Android du groupe malveillant APT C-23 ciblant les utilisateurs du Moyen-Orient.

Les appareils mobiles Android : un potentiel d’attaque conséquent

Les chercheurs de Threat Fabric¹ ont publié un rapport détaillant l’utilisation de Google Play par des acteurs malveillants pour propager des trojans bancaires en réduisant l'empreinte de leurs applications, en éliminant le nombre d'autorisations qu'elles demandent, en améliorant la qualité générale de l'attaque grâce à un meilleur code et en créant des sites Web complémentaires convaincants.

Après avoir contourné les restrictions de sécurité des applications Google Play, les attaquants ont réussi à installer plus de 300 000 trojans bancaires au cours des quatre derniers mois sur le marché officiel des applications Android².

Des exemples d’applications malveillantes :

• Two Factor Authenticator (com.flowdivison)
• Protection Guard (com.protectionguard.app)
• QR CreatorScanner (com.ready.qrscanner.mix)
• Master Scanner Live (com.multifuction.combine.qr)
• QR Scanner 2021 (com.qr.code.generate)
• QR Scanner (com.qr.barqr.scangen)
• PDF Document Scanner - Scanner vers PDF (com.xaviermuches.docscannerpro2)
• Scanner de documents PDF gratuit (com.doscanner.mobile)
• CryptoTracker (cryptolistapp.app.com.cryptotracker)
• Gym et Fitness Trainer (com.gym.trainer.jeux)

Alors que Google a instauré au début du mois des limitations pour restreindre l'utilisation des autorisations d'accès qui permettent aux applications malveillantes de capturer des informations sensibles sur les appareils Android, les développeurs de ces applications affinent de plus en plus leurs tactiques par d'autres moyens, même lorsqu'ils sont contraints de choisir la méthode plus traditionnelle d'installation des applications via le marché des applications³.

Le correctif de novembre d'Android corrige des vulnérabilités critiques et majeures liées au noyau du système

Google a publié le « Android Security Bulletin »⁴ de Novembre 2021 qui détaille de nombreuses mises à jour et corrections liées à la sécurité.

A titre d’exemple, ce bulletin détaille la vulnérabilité de sévérité « élevé » CVE-2021-1048⁵ qui peut conduire à une escalade locale des privilèges. Cette vulnérabilité, selon Google, fait l'objet d'une exploitation limitée et ciblée. Google mentionne que la plupart des utilisateurs d'Android sont vulnérables à cette faille. Cela est dû au fait que la majorité des appareils Android ne sont pas à jour avec le correctif, car les fabricants d'équipement d'origine (OEM en anglais) travaillent actuellement à l'application du correctif dans leurs versions personnalisées d’Android.

Par ailleurs, des vulnérabilités de sévérité critique ont été corrigées par ce correctif de novembre 2021. Il s'agit de deux failles d'exécution de code à distance (RCE en anglais), répertoriés comme CVE-2021-0918⁶ et CVE-2021-0930⁷ concernant Android et CVE-2021-0889⁸ concernant AndroidTV.

Ce correctif de novembre 2021 est le premier correctif de sécurité pour la version 12 d'Android, récemment publiée, mais de nombreux correctifs de ce document remontent aux versions 11, 10 et 9, selon les vulnérabilités traitées.

SharkBot - un malware Android ciblant les comptes bancaires et portefeuilles de cryptomonnaies

Des chercheurs en sécurité de Cleafy TIR ont découvert un nouveau trojan bancaire capable de compromettre les smartphones Android et siphonner les comptes bancaires et portefeuilles de crypto-monnaies liés aux smartphones.

"L'objectif principal de SharkBot est d'initier des transferts d'argent à partir des appareils compromis via la technique des systèmes de transfert automatique (ATS) en contournant les mécanismes d'authentification multifactorielle (par exemple, SCA) ", ont déclaré les chercheurs dans le rapport⁹.

Les créateurs de SharkBot semblent vouloir inciter les utilisateurs à télécharger et installer manuellement les applications sur leurs appareils, une pratique contre laquelle Google a constamment mis en garde leurs utilisateurs. Une fois qu'une application malveillante, infectée par SharkBot, est installée, le logiciel malveillant demande aux utilisateurs de lui accorder l'accès au service d'accessibilité d'Android, une fonction conçue pour aider les utilisateurs souffrant d’handicaps physiques à interagir avec leurs appareils en automatisant certaines tâches.

Le trojan utilise ces fonctionnalités pour imiter les saisies sur l'écran tactile et effectuer des tâches malveillantes, comme s'octroyer des droits d'administrateur, afficher de faux écrans de connexion sur l'appareil de l'utilisateur, collecter les frappes du clavier, intercepter / cacher les SMS permettant la double authentification et accéder aux applications de banque et de portefeuilles de crypto-monnaies pour transférer des fonds. Le trojan utilise des mesures pour échapper à la détection notamment par le chiffrage des communications de commande et de contrôle avec un serveur distant et en masquant l'icône de l'application sur l'écran d'accueil après l'installation.¹⁰

"Nous pouvons confirmer que SharkBot en est effectivement à un stade précoce de développement", a déclaré Cengiz Han Sahin, fondateur et PDG de ThreatFabric.

La découverte de SharkBot montre "comment les applications mobiles malveillantes trouvent rapidement de nouveaux moyens de frauder, en essayant de contourner les contre-mesures de détection comportementale mises en place par de nombreuses banques et services financiers au cours des dernières années", ont déclaré les chercheurs en sécurité de Cleafy.

Le malware Android du groupe malveillant APT C-23 cible les utilisateurs du Moyen-Orient

Surnommé « VAMP », « FrozenCell », « GnatSpy » ou encore « Desert Scorpion », ce malware mobile a été le logiciel malveillant le plus populaire pour le groupe de pirates APT C-23 depuis au moins 2017, avec des itérations successives présentant des fonctions de surveillance étendues pour exfiltrer des fichiers, des photos, des contacts et des journaux de contacts, pour lire les notifications des applications de messagerie, pour enregistrer les appels et pour masquer les notifications des applications de sécurité Android.

Les nouvelles variantes ont "incorporé de nouvelles fonctionnalités dans leurs applications malveillantes qui les rendent plus résistantes aux actions des utilisateurs, qui peuvent essayer de les supprimer manuellement, et aux sociétés de sécurité et d'hébergement web qui tentent de bloquer l'accès à leurs domaines", a déclaré Pankaj Kohli, chercheur en menaces chez Sophos, dans un rapport¹¹.

Auparavant, le logiciel malveillant était distribué en utilisant de prétendus fournisseurs d'applications Android sous l’identité d'AndroidUpdate, Threema et Telegram. Il est supposé que les attaquants envoient un lien de site Web de téléchargement aux cibles par des messages de smishing pour propager le logiciel malveillant.

Une fois l'application installée, elle commence à demander des autorisations invasives pour effectuer une série d'activités malveillantes qui sont conçues pour passer outre toute tentative de suppression manuelle du logiciel malveillant. Elle change également d'icône pour se cacher derrière des applications populaires telles que Chrome, Google, Google Play et YouTube ; si l'utilisateur clique sur l'icône frauduleuse, la version légitime de l'application est lancée, tout en exécutant des tâches de surveillance en arrière-plan. De nombreuses fonctionnalités du logiciel espion restent inchangées. L'application peut :

• Collecter les SMS, les contacts, les journaux d'appels ;
• Collecter des images et des documents ;
• Enregistrer l'audio, les appels entrants et sortants, y compris les appels WhatsApp ;
• Prendre des captures d'écran et enregistrer des vidéos de l'écran ;
• Prendre des photos à l'aide de l'appareil photo ;
• Masquer sa propre icône ;
• Lire les notifications d’applications de messagerie y compris WhatsApp, Facebook, Facebook Messenger, Telegram, Skype, IMO Messenger ou Signal ;
• Masquer les notifications des applications de sécurité intégrées (telles que Samsung SecurityLogAgent, Xiaomi MIUI SecurityCenter, Huawei SystemManager), ainsi que des applications système Android, du package Installer et ses propres notifications.

"Le logiciel espion Android lié à APT-C-23 existe depuis au moins quatre ans, et les attaquants continuent de le développer avec de nouvelles techniques qui échappent à la détection et à la suppression." Le chercheur en sécurité a déclaré : "Les logiciels espions constituent une menace croissante dans un monde de plus en plus connecté".

Conclusion

Les appareils Android constituent un point d’entrée exploité par les groupes malveillant. Cette menace non négligeable oblige les organisations, pour protéger leurs actifs, à sensibiliser leurs utilisateurs aux bonnes pratiques comme avec une sensibilisation au phishing (ou smishing) ou l’installation d’applications d’éditeurs de confiance uniquement. Ces bonnes pratiques s’appliquent également aux utilisateurs personnels.

Pour aller plus loin

Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations

Nos atouts

• Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
• War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
• Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
• CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
• ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.