Sécurité mobile : les principaux évènements survenus en 2022
Neuf évènements qui ont considérablement impacté l'année passée et qui façonneront certainement le paysage de la sécurité en 2023.
En 2022, il y a eu de bonnes nouvelles en matière de sécurité mobile, mais également de moins bonnes : des attaques de plus en plus sophistiquées sont apparues, des campagnes à grande échelle ont touché des millions de personnes, des piratages médiatisés ont coûté très cher aux entreprises, etc.
#1. Dark Herring : 100 millions d'utilisateurs ciblés
Les cybercriminels continuent d'investir dans des outils et des approches leur permettant d’étendre leur portée et, au final, leurs profits. Ainsi, en janvier 2022, plus de 100 millions d'utilisateurs Android ont été ciblés par la campagne de fraude par abonnement Dark Herring.
Environ 470 applications malveillantes hébergées sur Google Play Store intégrait ce malware. Dès qu’un utilisateur téléchargeait l'une de ces applications, il était dirigé vers une page Web lui demandant de transmettre son numéro de téléphone pour vérification. En réalité, les numéros de téléphone collectés frauduleusement étaient soumis à un service de facturation automatique de 15 dollars par mois par l'opérateur. Il a souvent fallu des mois aux victimes pour s’en rendre compte, qui n’ont eu que peu de recours pour récupérer leur argent. Bien que les montants exacts ne soient pas connus, on estime que les dommages financiers subis par les consommateurs se sont chiffrés en centaines de millions de dollars.
#2. Pegasus : un spyware reconnu qui continue de faire les gros titres.
Il y a une grande différence entre détecter un malware et éliminer les menaces qu'il représente. Pegasus en est l’exemple parfait. Détecté pour la première fois en 2016, il sévit toujours. En 2021, il a ciblé des dizaines de milliers d'activistes, de journalistes et de fonctionnaires. En février 2022, les forces de l'ordre israéliennes ont été soupçonnées d'avoir utilisé ce spyware pour espionner des personnalités publiques, notamment des responsables de ministères et un membre de la famille du Premier ministre. En avril de la même année, Pegasus a également touché une poignée de hauts fonctionnaires de la Commission européenne et enfin en mai, c’est le Premier Ministre espagnol qui a été ciblé.
#3. TeaBot : un cheval de Troie bancaire qui infecte 10 000 personnes
En mars 2022, Cleafy a signalé que TeaBot, le cheval de Troie bancaire Android, avait été téléchargé plus de 10 000 fois par des victimes peu méfiantes avant d'être retiré du Google Play Store officiel.
Le malware a été diffusé via une application qui semblait légitime, appelée "QR Code & Barcode - Scanner". Concrètement, l'application offrait la fonctionnalité promise mais immédiatement après son installation demandait la permission d'installer une application complémentaire, contenant plusieurs échantillons du malware TeaBot. Une fois téléchargée, l'application était autorisée à visualiser et à contrôler l'écran de l'appareil ainsi qu’à enregistrer les saisies au clavier. Grâce à ces tactiques, les cybercriminels ont pu accéder à des informations sensibles telles que les identifiants de connexion et les codes d'authentification par SMS. Ce malware a ciblé des utilisateurs à Hong Kong, en Russie et aux États-Unis.
#4. Cash App Investing : 8 millions d'utilisateurs potentiellement exposés
En avril dernier, on a appris que les données de plus de huit millions d'utilisateurs d'une application de trading boursier avaient été exposées. Ces personnes étaient des utilisateurs de Cash App Investing, une application mobile gérée par Block, société de services financiers.
Un ancien employé mécontent a pu accéder à des rapports de l'entreprise contenant les noms des utilisateurs, leurs numéros de compte, leurs avoirs, etc. Peu après l'annonce de l’attaque, un recours collectif a été déposé contre le fournisseur de l'application et sa société mère.
#5. FluBot : un malware Android éliminé
En mai 2022, une opération policière internationale a permis de démanteler un malware Android connu sous le nom de FluBot. Cette vaste opération, dirigée par Europol et à laquelle ont participé des agences de toute l'UE et des États-Unis a déconnecté des milliers d'appareils compromis du réseau FluBot et empêché plus de 6,5 millions de spams de parvenir aux victimes potentielles.
Détecté pour la première fois en 2020, FluBot a infecté des dizaines de milliers d'appareils dans le monde, dont plus de 70 000 en Espagne et en Finlande. Au fil du temps, les responsables de ce malware ont affiné leurs approches, en envoyant, par exemple, des sms pour inciter les utilisateurs à cliquer sur un lien malveillant afin de reprogrammer la livraison d'un colis. Des itérations ultérieures leur ont également demandé de cliquer sur un lien afin de visualiser une photo partagée par un ami. Ils sont allés jusqu’à avertir des cibles potentielles que leurs appareils étaient infectés par le virus FluBot et qu'elles devaient prendre des mesures immédiates en cliquant sur un lien malveillant.
Le malware installé demandait des autorisations d'accès qui, une fois accordées, permettaient aux hackers de voler des identifiants d'applications bancaires et des détails sur les portefeuilles de crypto-monnaies. FluBot a également volé les coordonnées des appareils infectés, puis a envoyé des sms à leurs contacts afin de se propager.
#6. 0ktapus Phishing : plus de 130 entreprises compromises
En août dernier, la société de cybersécurité Group-IB a publié un rapport détaillant une campagne de phishing, baptisée « Oktapus ». Elle a touché plus de 130 entreprises, dont Cloudflare, Doordash, Mailchimp et Twilio. Les cybercriminels ont ciblé les employés des entreprises qui utilisaient Okta, l'une des principales offres de gestion des identités et des accès. Ils envoyaient des SMS contenant un lien pointant vers un site de phishing, ressemblant à la page d’authentification d’Okta. Dès que les victimes soumettaient leurs identifiants de connexion, les attaquants pouvaient exploiter ces détails pour accéder à leurs comptes. Ils ont également lancé diverses stratégies d'attaque en plusieurs phases. Ils compromettaient un service et tentaient de l’exploiter pour en violer un autre. Par exemple, après avoir pénétré dans les services de vérification des numéros de téléphone de Twilio, ils ont cherché à cibler 1 900 utilisateurs de l'application de messagerie instantanée Signal.
#7. Uber exposé : une attaque de grande envergure menée par un pirate affilié à Lapsus$.
En septembre 2022, Uber a subi une attaque de grande ampleur. Un pirate a utilisé des techniques d'ingénierie sociale pour accéder au compte d'un employé. Il lui a envoyé à plusieurs reprises des notifications, prétendant être un administrateur informatique et demandant l'accès à son compte. L'employé d’Uber a fini par fournir les détails demandés. Le hacker a ensuite pu contourner les authentifications multifactorielles et accéder à un certain nombre de systèmes internes. Au final, le code source, les bases de données internes, les canaux de communication, etc. ont tous été compromis. Il a même utilisé un compte Slack compromis pour diffuser un message à tous les employés pour les informer de la violation.
Des rapports ont établi un lien entre cette intrusion et le groupe Lapsus$, un collectif de cybercriminels, responsable d'attaques contre un certain nombre d'autres entreprises de premier plan au début de l'année (Microsoft, Nvidia, Rockstar Games et Samsung). Ces attaques les ont exposés à des demandes de rançon, sans parler des autres dommages excessifs liés à l'expertise et à la remédiation, à la publicité négative et à la perte de productivité.
#8. Dirty RatMilad : nouvelle campagne de spywares
Si les spywares sont depuis longtemps utilisés par les États, les progrès technologiques constants ont continué à rendre ces outils encore plus accessibles et faciles à concevoir et à modifier.Tout au long de l'année 2022, de nouvelles versions de spyware ont été découvertes. Notamment RatMilad, une campagne de spyware inconnue jusqu'alors, diffusée par AppMilad, un groupe de pirates iraniens. Le malware Android incitait les utilisateurs à accéder à une application d'usurpation de numéro de téléphone. Les attaquants utilisaient Telegram pour diffuser des messages encourageant le téléchargement de l'application. Une fois l’application téléchargée et les autorisations accordées sur l'appareil, ils étaient alors en mesure de contrôler la quasi-totalité du terminal. Grâce au spyware, les attaquants ont pu accéder aux appareils photo, enregistrer des vidéos, obtenir des positions GPS précises, etc.
#9. Coupe du monde au Qatar : les visiteurs ont été mis en garde contre les spywares
Il est fort probable que les appareils mobiles des personnes assistants à la Coupe du monde de football en novembre dernier, aient été infectés par un spyware. En effet, les visiteurs ont dû télécharger deux applications mobiles : une application officielle de la Coupe du monde appelée "Hayya" et "Ehteraz", (TousAntiCovid local). Les experts ont averti que ces applications étaient une forme de spyware, qui permettait aux autorités qataries d'accéder aux données des individus, et même de visualiser, supprimer ou modifier le contenu de leurs téléphones.
Les gouvernements du monde entier ont mis en garde leurs citoyens contre les risques liés à ces spywares et leur ont recommandé, avant d’entrer dans le pays, d’utiliser un téléphone jetable ou de réinitialiser les paramètres d'un ancien téléphone.
Les gros titres de 2022 continuent de nous rappeler qu'il est essentiel de protéger les smartphones utilisés par les employés. Si certaines des attaques décrites ci-dessus visaient expressément des collaborateurs d'entreprises, il n'en reste pas moins que même les attaques ciblant les consommateurs peuvent finalement exposer les actifs de l'entreprise, notamment la propriété intellectuelle et les authentifiants.