BLOG

Les logiciels malveillants financiers et leurs astuces : Logiciels malveillants mobiles

Vignette de Shahnawaz Backer
Shahnawaz Backer
Publié le 25 août 2016

La banque moderne avec le mobile

Les appareils mobiles deviennent rapidement l’instrument de choix des utilisateurs numériques, ce qui a également un impact sur le secteur financier. La nouvelle génération a besoin d’un système bancaire adapté au mobile. Selon les conclusions de la Réserve fédérale, l’utilisation des services bancaires mobiles est de 67 % pour la tranche d’âge des 18 à 29 ans. La principale préoccupation derrière la non-adoption du mobile pour les services bancaires était la sécurité. La mobilité étant une force imparable, les organisations doivent comprendre ce vecteur de risque pour planifier et atténuer adéquatement les menaces. Cet article est consacré à certaines des vulnérabilités les plus notables (et exploitées) dans l’espace mobile.

Qu'est-ce qu'un logiciel malveillant mobile ?

Comme tout logiciel malveillant, un logiciel malveillant mobile est un morceau de code écrit pour attaquer un smartphone ou un appareil similaire. L'histoire des logiciels malveillants mobiles remonte au moins à l'année 2000, lorsque le premier logiciel malveillant mobile connu « TIMOFONICA » a été détecté par des chercheurs. En 2016, des logiciels malveillants comme « Godless », qui peuvent rooter jusqu'à 90 % des appareils Android, ont été découverts dans la nature.

Un rapide coup d'œil aux analyses effectuées par le laboratoire Kaspersky montre que le nombre de chevaux de Troie bancaires mobiles est en augmentation. Environ 56 194 utilisateurs ont été attaqués par des chevaux de Troie bancaires mobiles au moins une fois au cours de l'année 2015.

 

Types: Logiciels espions et publicitaires, chevaux de Troie et virus, applications de phishing, etc.

Les logiciels malveillants actifs dans la nature peuvent actuellement être classés comme des logiciels espions/publicitaires, des chevaux de Troie et des virus, des applications de phishing ou des processus de bot. Leur seule intention est de capturer des informations personnelles précieuses et de les exfiltrer.

  • Les logiciels espions et publicitaires déguisés en applications légitimes sont connus pour collecter des informations sur les utilisateurs et les appareils, qui peuvent être utilisées pour de futures attaques.
  • Les chevaux de Troie détournent les appareils et envoient des SMS premium non autorisés. Les plus répandus ont la capacité de redessiner les écrans des utilisateurs et d'agir comme des applications légitimes pour voler des informations confidentielles telles que des identifiants bancaires et des mots de passe à usage unique hors bande.
  • Les applications de phishing exploitent des applications malveillantes ou refactorisées pour fournir du contenu malveillant à l'utilisateur.

Vulnérabilités et astuces courantes utilisées par les logiciels malveillants mobiles

Les appareils mobiles prennent en charge plusieurs plates-formes telles que iOS, Android, Windows, etc. Alors que iOS et Android dominent le marché, examinons les vulnérabilités pertinentes qui sont exploitées :

  • Appareils rootés ou jailbreakés : L'enracinement/le jailbreak d'un téléphone fournit un accès de niveau root au système d'exploitation mobile. Bien que cela donne aux utilisateurs la possibilité de modifier le comportement standard de l'appareil, cela crée également un risque extrême pour les applications car le processus brise le modèle de sécurité de l'appareil. Un appareil rooté/jailbreaké constitue un moyen idéal pour les logiciels malveillants et les application malveillantes d'infecter et d'exfiltrer des données.
  • Attaques de l'homme du milieu : Ce vecteur d'attaque utilise un tiers s'interposant entre l'appareil et la communication avec le serveur, reniflant et modifiant la charge utile. Avec les appareils mobiles, les vecteurs d’attaque sont amplifiés car les gens ont tendance à se connecter aux zones Wi-Fi gratuites des hôtels, des cafés et d’autres lieux publics,
Photo : www.jscape.com

 

  • Système d'exploitation obsolète : Ce syndrome touche davantage les utilisateurs d’Android que les utilisateurs d’iOS. Il existe une grande fragmentation selon les versions des appareils Android. Certains appareils peuvent encore fonctionner avec une ancienne version présentant des vulnérabilités connues, ce qui en fait un terrain fertile pour une attaque de malware.
  • Capture de SMS : Les techniques d’authentification adaptative modernes utilisent l’authentification hors bande, et les SMS semblent être l’un des points de vulnérabilité les plus populaires. Un logiciel malveillant mobile affectant un appareil Android est capable de voler un mot de passe à usage unique envoyé à l'appareil. La version Android 4.3 et inférieure permettait au malware d'interdire l'apparition des SMS dans la boîte de réception, rendant l'attaque complètement silencieuse. Dans les versions ultérieures d'Android, les logiciels malveillants ne peuvent pas empêcher les SMS d'apparaître dans la boîte de réception, alertant les utilisateurs de la présence de SMS inattendus.
  • Vol de concentration : Le détournement d'activité ou le phishing mobile exploitent la vulnérabilité d'Android dans laquelle une activité malveillante est lancée au lieu de celle attendue. À l’aide d’un écran similaire, un utilisateur est amené à fournir ses informations d’identification au logiciel malveillant. Ce vecteur d’attaque est couramment exploité par les logiciels malveillants financiers. Le vecteur d'attaque affecte les versions Android inférieures à 5, et dans les versions ultérieures, Google a atténué les vecteurs d'attaque.

    •  

    Photo: Capture d'écran du malware svpeng

     

  • Applications reconditionnées : Les auteurs de logiciels malveillants obtiennent des applications légitimes et reconditionnent l' application avec une charge utile malveillante et utilisent des campagnes de spam, et dans certains cas, téléchargent même l' application sur Playstore/Appstore pour une distribution de masse. Selon une étude menée par Arxan Technologies, 80 % des applications Android populaires et 75 % des applications iOS ont été piratées :

    •  

    Photo: Arxan Technologies
    • Malware iOS non jailbreaké : Nouvelles variantes de logiciels malveillants (exemple : YiSpecter) ont été détectés et sont capables d'infecter iOS et d'abuser des API privées.
    • Et bien d’autres encore... Les auteurs de logiciels malveillants inventent et développent sans cesse de nouvelles techniques pour compromettre les appareils mobiles.

    La solution de protection contre les fraudes de F5 est la réponse

    La protection contre les fraudes fournit aux organisations des approches d’atténuation préventives et de détection pour les applications mobiles modernes. Une gamme de techniques est utilisée pour évaluer l’intégrité de la sécurité de l’appareil ; ces informations sont fournies à l’ application et partagées avec le moteur de risque d’une organisation pour atténuer et corriger les menaces. Certaines fonctionnalités clés qui aident à surmonter ces menaces incluent :

    • Détection de falsification de certificats : La vérification du certificat permet d'éviter les attaques de type « Man in The Middle ». La fonctionnalité vérifie la validité du certificat par rapport aux informations stockées.

    • Détection d'usurpation DNS : Protège contre les attaques de type « Man in the Middle » en résolvant les noms de serveur et en les comparant aux informations stockées.

    • Détection de jailbreak/rooting : Détecte l'appareil compromis en vérifiant les privilèges root.

    • Détection des logiciels malveillants: Recherche des indicateurs de compromission et effectue une analyse du comportement pour trouver les logiciels malveillants installés sur l'appareil.

    • Détection de système d'exploitation non corrigé/non sécurisé : Le SDK est capable de calculer la version Android/iOS et de fournir les informations à une application.

    • Détection de vol de mise au point : Cette fonctionnalité permet à application de détecter si une application malveillante a volé le focus de l' application protégée. MobileSafe générera un événement de diffusion pour que l' application réponde à cette menace.

    • Détection de reconditionnement : Pour les applications Android, la solution vérifiera la signature pour s'assurer de son authenticité. Pour iOS, la vérification du reconditionnement implique le calcul des hachages MD5 et la validation.

    Configuration de l'environnement

    La solution peut être configurée en activant F5 MobileSafe sur un environnement WebSafe existant.

     

     

  • Créez/configurez un profil de solution de protection contre les fraudes à l'aide de préréglages orientés mobile :

    •  

     

    Une fois le profil créé, les alertes seront disponibles sur Alert Server lorsqu'un utilisateur accède aux URL mobiles.
    • Une fois le profil créé, les alertes seront disponibles sur Alert Server lorsqu'un utilisateur accède aux URL mobiles. 

    Conclusion

    Les appareils mobiles offrent aux utilisateurs un accès pratique et facile aux services en ligne, favorisant ainsi une adoption massive. Les pirates informatiques tentent de maximiser les nouveaux vecteurs d’attaque en raison de la compréhension limitée de la sécurité dans ce domaine. La solution de protection contre les fraudes de F5 offre à l'organisation une vue sur les terminaux mobiles et protège contre les menaces modernes et sophistiquées.

    Ressources