News
Check Point Research découvre un nouveau malware dissimulé sous forme d’applications Android légitimes et bien connues, destinées à l’Asie orientale
mai 2023 par Check Point Research (CPR)
Check Point Research (CPR) a repéré une nouvelle souche de malware inquiétante, dénommée FluHorse. Le malware fonctionne via un ensemble d’applications Android malveillantes. Chacune des apps imite une application authentique et connue qui a été installée plus de 100 000 fois. Ces apps malveillantes sont conçues pour extraire des informations sensibles, notamment les identifiants des utilisateurs et les codes d’authentification à deux facteurs (2FA).
L’authentification à deux facteurs (2FA) permet d’améliorer la sécurité de toute personne qui utilise un service en ligne ou qui accède aux ressources de l’entreprise. Elle exige de l’utilisateur deux types d’informations différentes pour s’authentifier ou prouver que ce dernier est bien celui qu’il prétend être avant que l’accès ne lui soit accordé.
FluHorse cible plusieurs secteurs en Asie de l’Est et est généralement distribué par e-mail. Dans certains cas, des personnalités de premier plan, telles que des représentants du gouvernement, ont été ciblées au cours des phases initiales de l’attaque par e-mail de phishing. FluHorse fait son apparition alors que la région APAC connaît une augmentation importante des cyberattaques : au premier trimestre 2023, l’entreprise moyenne de la région APAC a été attaquée 1 835 fois par semaine, selon Check Point Research. Il s’agit d’une augmentation de 16 % par rapport au premier trimestre 2022.
L’un des aspects les plus inquiétants de FluHorse est sa capacité à passer inaperçu pendant de longues périodes. Il s’agit donc d’une menace persistante et dangereuse, difficile à identifier. CPR encourage vivement les entreprises et les particuliers des régions touchées à rester vigilants et à prendre des mesures pour se protéger contre ce nouveau malware sophistiqué et potentiellement catastrophique.
Dans cette recherche, CPR décrit différentes attaques et cite des exemples d’applications malveillantes de phishing et les compare aux applications androïdes originales et légitimes copiées, montrant à quel point il peut être difficile de déceler les différences.
Applications imitées
Les cybercriminels se tournent souvent vers des applications à succès dont le nombre de téléchargements est élevé afin de maximiser l’impact de leur attaque et d’obtenir une plus grande traction.
Cette attaque ne fait pas exception à la règle.
Les attaquants se sont concentrés sur une sélection éclectique de secteurs ciblés pour des pays spécifiques et ont utilisé une application copiée dans chacun d’entre eux :
Pays Sphère Application imitée
Installations d’une application copiée sur Google Play
Taiwan Perception du péage ETC +1 000 000
Non communiqué Transport Non communiqué +100 000
Vietnam Banque VPBank Neo +1 000 000
Les attaquants ont choisi de copier les applications d’entreprises de renom parce qu’ils sont convaincus que ces applications attireront des clients financièrement stables. En effet, les entreprises à l’origine de ces applications jouissent d’une solide réputation de fiabilité.
Phishing (hameçonnage)
L’illustration ci-dessous résume ce qu’est le phishing sous forme graphique : après que la victime a saisi ses identifiants, ceux-ci sont envoyés à un serveur contrôlé par les attaquants (serveur C&C). Le malware demande alors à la victime de patienter pendant le traitement des informations. Parallèlement, il se met à intercepter tous les messages texte entrants, y compris les codes envoyés pour l’authentification à deux facteurs. Si les attaquants ont volé les identifiants de connexion ou les informations de carte bancaire de la victime, ils peuvent s’en servir pour contourner le 2FA et accéder à ses comptes
Attirer les victimes pour qu’elles téléchargent les applications copiées
Les e-mails de phishing sont l’une des cybermenaces les plus courantes auxquelles les entreprises et les particuliers sont exposés. Les attaques de phishing permettent aux attaquants de poursuivre divers objectifs, tels que le vol d’identifiants, de données et d’argent, ainsi que la diffusion de malware sur l’ordinateur du destinataire ou le téléchargement d’un fichier par la victime.
CPR a découvert plusieurs organismes de premier plan parmi les destinataires de ces e-mails spécifiques dans cette attaque, parmi lesquels des employés du secteur public et de grandes entreprises industrielles.
Voici un exemple d’un de ces e-mails malveillants, destiné à inciter la victime à télécharger l’application malveillante :
Voici la traduction de l’e-mail :
Cher utilisateur d’eTag
Votre abonnement unique de 128 yuans expire le 10 janvier 2023. Pour éviter une amende de 300 yuans par transaction, veuillez utiliser votre téléphone portable pour cliquer et téléchargez l’application Yuantong Electric Collection App dès que possible.
Payez en ligne. https://www.fetc-net[.com
Far Eastern Electronic Toll Collection Co,Ltd. Tous droits réservés.
Yuantong Electric possède des marques déposées et des droits d’auteur.
ne pas copier ou réimprimer sans autorisation.
Si vous avez des questions, veuillez appeler le service client de Yuantong au 02-77161998.
Merci de votre compréhension.
Protégez-vous contre les menaces mobiles
Étant donné que le facteur humain reste un élément important dans ce type d’attaques, Check Point Research recommande aux utilisateurs d’appareils mobiles de suivre les conseils suivants :
• Harmony Mobile de Check Point empêche les malwares d’infiltrer les appareils mobiles en détectant et en bloquant le téléchargement d’apps malveillantes en temps réel. L’infrastructure de sécurité réseau unique d’Harmony Mobile, On-device Network Protection, vous permet de garder une longueur d’avance sur les menaces émergentes car elle étend les technologies de sécurité réseau de pointe de Check Point aux appareils mobiles.
• Les utilisateurs sont invités à rester vigilants et à ne pas cliquer sur des liens envoyés par des e-mails ou des textes de source inconnue.
Comment identifier un e-mail usurpé ?
Les e-mails usurpés font partie des campagnes de phishing. Ils sont conçus pour inciter le destinataire à exécuter une opération qui aidera l’attaquant. Si un e-mail contient un lien à cliquer, une pièce jointe ou demande de faire quelque chose, il est judicieux de vérifier s’il n’a pas été usurpé.
Dans certains cas, l’attaquant peut utiliser une adresse réelle, qui ressemble à celle de l’expéditeur, en remplaçant par exemple company.com par cornpany.com. Dans d’autres cas, la valeur de l’en-tête DE peut être remplacée par une adresse légitime qui ne dépend pas de l’expéditeur.
Le premier cas de figure peut généralement être détecté en examinant attentivement l’adresse e-mail de l’expéditeur, mais le second requiert des recherches plus approfondies. Les adresses d’expéditeurs usurpées peuvent être identifiées sur la base des éléments suivants :
Contexte : Les e-mails de phishing ont pour but de donner l’impression d’être légitimes, mais ils ne réussissent pas toujours. Si un e-mail ne semble pas provenir de l’expéditeur présumé, il peut s’agir d’un e-mail de phishing falsifié. Cependant, les cybercriminels se mettent à utiliser l’intelligence artificielle (IA) pour générer des e-mails de phishing réalistes, d’où la nécessité d’un examen plus approfondi.
Reply-To : Une adresse « Reply-To » permet de diriger les réponses à un e-mail provenant d’une adresse vers une autre adresse. Bien que cette pratique soit légitime (campagnes d’envoi massif d’e-mails, par exemple), elle est inhabituelle et devrait éveiller les soupçons dans le cas d’e-mails envoyés à partir d’un compte personnel.
Received : L’en-tête RECEIVED d’un e-mail mentionne les adresses IP et les noms de domaine des ordinateurs et des serveurs de messagerie sur le parcours que l’e-mail a empruntés. Un e-mail en provenance et à destination d’adresses électroniques au sein de la même entreprise ne devrait passer que par le serveur de messagerie de l’entreprise.
