Les chercheurs de Proofpoint ont détecté une impressionnante augmentation des 500 % des tentatives de diffusion de malwares sur mobile en Europe, depuis le début du mois de février.
Les logiciels malveillants mobiles d'aujourd'hui sont capables de causer bien plus de dégâts qu'auparavant. Ne se contentant pas de simplement voler des données d'identification, ils peuvent désormais pour certains enregistrer les conversations (audio ou vidéo) de notre smartphone, outre le suivi de la géolocalisation ou l'effacement des contenus et données. Si les attaques dites de « smishing » (phishing par SMS) avaient diminué en fin d'année dernière, on assiste à une vraie résurgence sur cette première partie d'année.
Les malwares FluBot et TeaBot, qui épient données, conversations et identifiants, parmi les plus redoutables
Au jeu des logiciels malveillants les plus courants sur mobile, FluBot a la cote. Ce malware Android, très sophistiqué, a d'abord été repéré en Espagne, fin 2020, et s'est depuis répandu au Royaume-Uni, à l'Allemagne, puis au reste de l'Europe mais aussi en Australie et en Nouvelle-Zélande. Il accède à la liste de contacts de l'appareil infecté en renvoyant les informations à un serveur de commande et de contrôle.
Il est aussi capable d'accéder au Web, de lire et d'envoyer des messages, de voir les notifications, de passer des appels vocaux et de supprimer certaines applications installées. Au moment de cibler une application, FluBot fait apparaître un autre écran sur le smartphone, afin de récupérer les identifiants, notamment pour les applications bancaires. Il se distribue en envoyant de faux SMS.
TeaBot est aussi devenu très courant. Le cheval de Troie, qui se répand sur Android, a contaminé l'Europe, en volant des informations d'identifiants et en interceptant des messages. Il peut aussi diffuser ce qui est affiché sur l'écran de l'appareil au hacker. TeaBot est capable de voler des informations d'identifiants via des applications d'une soixantaine de banques européennes. On le retrouve dans des messages SMS, comparables à ceux diffusés par FluBot. TeaBot inquiète tout autant, dans la mesure où il peut capter les codes Google Authenticator, logiciel de Google censé aider à l'authentification, plus sécurisée, en deux étapes.
Android toujours plus ciblé qu'iOS, pourtant pas épargné
Parmi les autres logiciels malveillants longuement étudiés par Proofpoint, on retrouve TangleBot, un petit malin qui se propage en envoyant de fausses notifications de livraison de colis. D'abord détecté en Amérique du Nord, il a récemment piégé des cibles basées en Turquie. Les hackers le diffusent en le faisant parfois cohabiter avec FluBot, les deux utilisant une méthode de distribution, des pages de destination, un langage et des leurres SMS identiques. L'un des leurres fétiches de TangleBot est la notification de mise à jour logicielle. Toutefois, ses attaques restent encore sporadiques, et c'est tant mieux, car il est l'un des très rares malwares à pouvoir intercepter l'utilisation de la caméra et de l'audio de l'appareil infecté.
TianySpy, qui à ce jour ne cible que des utilisateurs japonais, se fait passer pour un opérateur mobile, pour piéger ses victimes. Il est doté d'une fonctionnalité assez inhabituelle, puisqu'il peut aussi bien contaminer des smartphones Android que des iPhone. Outre le vol d'informations, notamment par le biais de la superposition Web, TianySpy peut contrôler, surveiller et modifier les accès Wi-Fi. Les victimes iOS sont piégées par le biais de leur UUID (l'identifiant unique universel attribué à chaque iPhone, iPad ou Mac), utilisé pour distribuer le malware via un soi-disant profil d'approvisionnement (profils utilisés par les développeurs, qui peuvent tester des applications mobiles).
Notons que dans le parallèle Android vs Apple, l'OS mobile de Google est une cible « bien plus populaire pour les cybercriminels », reconnaissent les spécialistes cyber de Proofpoint. Et cela semble logique : rappelons qu'iOS n'autorise pas l'installation d'une application provenant d'un magasin autre que l'App Store. Android, de son côté, est plus laxiste, le système d'exploitation autorisant le téléchargement d'une application depuis à peu près n'importe où sur Internet.
