Accueil Cyber Sécurité Des logiciels malveillants déguisés en applications Android légitimes

Des logiciels malveillants déguisés en applications Android légitimes

93
0

Les chercheurs de Check Point Software ont repéré une nouvelle souche de logiciels malveillants inquiétante, baptisée FluHorse. Le logiciel malveillant fonctionne par le biais d'un ensemble d' malveillantes, chacune d'entre elles imitant une application populaire et légitime ayant été installée plus de 100 000 fois.

Ces applications malveillantes sont conçues pour extraire des informations sensibles., y compris les identifiants des utilisateurs et les codes d'authentification à deux facteurs (2FA) qui sont largement utilisés pour sécuriser les services en ligne sensibles et les ressources des entreprises. Cette méthode exige généralement que l'utilisateur fournisse deux types d'informations différentes pour authentifier son identité et prouver qu'il est bien celui qu'il prétend être avant que l'accès ne lui soit accordé.

FluHorse cible de multiples secteurs en Asie de l'Est et est généralement distribué par courrier électronique. Dans certains cas, des entités très médiatisées, telles que des responsables gouvernementaux, ont été ciblées dès les premières étapes de l'attaque de phishing par courrier électronique. FluHorse connaît une augmentation importante des cyberattaques, au premier trimestre 2023, l'organisation moyenne de la région APAC a été attaquée 1 835 fois par semaine, soit une augmentation de 16 % par rapport au premier trimestre 2022.

L'un des aspects les plus inquiétants de FluHorse est sa capacité à ne pas être détecté pendant de longues périodes, ce qui en fait une menace persistante et dangereuse, difficile à identifier.

Dans sa recherche, Check Point décrit les différentes attaques et fournit des exemples d'applications malveillantes de phishing, comparées aux applications androïdes originales et légitimes imitées, montrant à quel point il peut être difficile de repérer les différences.

Applications imitées

Les cybercriminels optent souvent pour des applications populaires avec un grand nombre de téléchargements afin de maximiser l'impact de leur attaque et d'obtenir une plus grande traction. Les attaquants ont choisi une sélection éclectique de secteurs ciblés pour des pays spécifiques, en utilisant une application imitée dans chaque pays, notamment au Tawian (péages routiers) et au Vietnam (banque). Les attaquants ont conçu des applications imitées d'entreprises réputées car ils sont persuadés que ces applications attireront des clients financièrement stables. En effet, les entreprises à l'origine de ces applications ont la réputation d'être dignes de confiance.

Lire aussi :  Les universités sont visées par un ransomware

Attirer les victimes pour qu'elles téléchargent des applications imitées

Les courriels d'hameçonnage constituent l'une des cybermenaces les plus courantes auxquelles une organisation et des individus peuvent être confrontés. Les attaques de phishing peuvent être utilisées pour atteindre divers objectifs pour un attaquant, y compris le vol d'identifiants, de et d'argent, ainsi que la livraison de logiciels malveillants sur l'ordinateur d'un destinataire ou l'incitation de la victime à télécharger un fichier. Check Point a découvert plusieurs entités de premier plan parmi les destinataires de ces courriels spécifiques à cette attaque, notamment des employés du secteur gouvernemental et de grandes entreprises industrielles.

Comment identifier un faux courriel

Les courriels usurpés font partie des campagnes d'hameçonnage, qui sont conçues pour inciter le destinataire à effectuer une action qui aide l'attaquant. Si un courriel contient un lien à cliquer, une pièce jointe ou demande une autre action, il est conseillé de vérifier s'il n'a pas été usurpé. Dans certains cas, l'attaquant peut utiliser une adresse réelle qui lui ressemble. Dans d'autres, la valeur de l'en-tête “From” peut être remplacée par une adresse légitime qui n'est pas sous le contrôle de l'expéditeur.

Si le premier cas peut généralement être détecté en examinant attentivement l' de l'expéditeur, les seconds sont plus délicats et nécessitent une plus grande prudence. Les adresses “De” usurpées peuvent être identifiées sur la base de :

Lire aussi :  Rétablir le travail à distance

Contexte : Les courriels d'hameçonnage sont conçus pour avoir l'air légitimes, mais ils ne réussissent pas toujours. Si un courriel ne semble pas provenir de l'expéditeur présumé, il peut s'agir d'un courriel d'hameçonnage usurpé.

Reply-To : Une adresse Reply-To permet de diriger les réponses à un courriel provenant d'une adresse vers une autre. Bien que cela ait des utilisations légitimes (comme les campagnes de courriels de masse), c'est inhabituel et devrait être une cause de suspicion pour les courriels provenant d'un compte personnel.

Reçu : L'en-tête “Received” d'un courriel indique les adresses IP et les noms de domaine des ordinateurs et des serveurs de messagerie le long du chemin parcouru par le courriel. Un courriel en provenance et à destination d'adresses électroniques de la même entreprise ne doit passer que par le serveur de messagerie de l'entreprise.

Check Point conseille aux entreprises et aux particuliers des régions concernées de rester vigilants et de prendre des mesures pour se protéger contre ce nouveau logiciel malveillant sophistiqué et potentiellement dévastateur. L'intégralité de leur analyse technique est disponible ICI

Tu pourrais aussi lire :

Un cheval de Troie malveillant installé sur des millions d'appareils Android:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel £5 par mois ou £50 par an. S'inscrire
  • Multi-utilisateurs, entreprises &amp ; comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible


” Les assureurs doivent payer les pertes de 1,4 milliard de dollars de Merck pour NotPetya
Article précédentUn pirate informatique a volé des “informations personnelles” lors d’un récent incident de sécurité du réseau
Article suivantLes défis des directeurs techniques en 2023