Infos

Malwares Android de superposition

Le marché des malwares pour Android s’est fortement activé grâce à la popularité croissante des malwares de superposition. D’après IBM X-Force, ces malwares sont capables de voler les données des comptes utilisateur sur les smartphones et aident les individus malintentionnés à déjouer les systèmes d’authentification à deux facteurs.

Les malwares de superposition créent un écran transparent qui permet de superposer des informations sur les informations principales affichées par une application Android légitime. Cet écran de phishing permet aux attaquants d’obtenir des données confidentielles de l’utilisateur que le malware envoie à un serveur distant après la saisie.

D’après les chercheurs, la demande pour les malwares de superposition a été provoquée par une guerre des prix et un flux de nouvelles offres qui ont vraiment inondés le marché. D’après Limor Kessem, experte attachée au service d’enquête d’IBM, c’est vers la fin de l’année dernière que les milieux criminels ont commencé à s’intéresser aux malwares de superposition, suite à la fuite du code source de GM Bot (appelé Acecard chez Kaspersky Lab). Ce code source a fait l’objet de modifications ; la version actualisée de GM Bot coûte beaucoup plus cher que celle d’il y a 6 mois : elle est désormais vendue pour 15 000 dollars américains, contre 5 000 antérieurement.

Dans des commentaires qu’elle a partagés avec Threatpost, Limor Kessem explique que ces prix aussi élevés expliquent la concurrence ravivée au niveau des prix parmi les éditeurs de malwares similaires pour Android. L’équipe de X-Force a détecté plusieurs versions sur le marché noir, dont Bilal Bot et Cron Bot. Le volume des ventes de KNL Bot a également fortement augmenté. Les prix de ces bots alternatifs varient ente 3 000 et 6 000 dollars. Certains sont même proposés en tant que service.

Limor Kessem observe que « sur le marché noir, les trojans bancaires (pour ordinateur personnel) sont délaissés au profit des malwares de superposition, le nouveau couteau suisse des cybercriminels. Ils sont souples et efficaces au niveau du vol des informations d’authentification pour les systèmes de banque électronique et d’une multitude d’autres types de données confidentielles sur les périphériques Android.

La découverte de GM Bot remonte à 2014. A l’instar de ses prédécesseurs Bilal Bot, Cron Bot et KNL Bot, ce malware exploite une vulnérabilité dans les anciennes versions d’Android (inférieures à 5.0) qui permet de surveiller les actions de l’utilisateur. Limor Kessem n’est pas prête à affirmer avec certitude que toutes les versions citées de GM Bot utilisent le même code de base : « Il est fort probable que cela soit le cas, mais nous n’avons pas encore analysé les échantillons. »

Les versions les plus récentes de ces malwares de superposition se ressemblent, notamment par le fait qu’elles sont vendues directement par les développeurs. Limor Kessem constate que « les intermédiaires sont de moins en moins nombreux. L’assistance pour le malware est offerte par les développeurs en personne. Ils publient fréquemment des mises à jour, éliminent des bogues et offrent un service d’assistance technique. »

Les chercheurs de X-Force ont également observé des similitudes au niveau des fonctions dans tous les APK ; outre la capacité d’afficher un écran de phishing, tous les malwares de superposition sont capables d’intercepter les SMS, de transférer les appels téléphoniques et de surveiller les codes de pays. Pour éviter la détection, ils utilisent tous le polymorphisme.

Les chercheurs s’attendent à l’émergence de réseaux de zombies bâtis sur des malwares de superposition qui ont déjà fait preuve de leur efficacité comme outil de vol d’informations d’identification financières, de code d’authentification et d’autres données de l’utilisateur sur les appareils nomades. Mais il y a malgré tout une bonne nouvelle. « Les malwares de superpositions sont faciles à maîtriser » a déclaré Limor Kessem en expliquant que « les développeurs d’applications doivent penser au risque d’attaques par superposition. Les applications doivent être plus technologiques et doivent pouvoir se protéger contre de telles attaques ou au moins prévenir l’utilisateur lorsqu’une superposition est détectée sur l’appareil. »

Fonte: Threatpost

Malwares Android de superposition

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception