Crochet : Une nouvelle souche du cheval de Troie ERMAC vole des données bancaires - Comment protéger les utilisateurs d'applications ?

Une nouvelle souche du cheval de Troie bancaire ERMAC a été identifiée par les chercheurs de la société de sécurité ThreatFabric. La nouvelle souche de logiciel malveillant Android a été baptisée Hook. Ce logiciel malveillant sophistiqué est conçu pour voler des informations sensibles aux victimes et est actif depuis janvier 2023. Selon Threat Fabric, DukeEugene, l'acteur original d'ERMAC, a publié un billet proposant de vendre le nouveau malware bancaire pour 7 000 dollars par mois.

Hook est une variante de la famille de logiciels malveillants ERMAC, active depuis 2021, qui est un cadre modulaire de logiciels malveillants capable d'effectuer un large éventail d'activités malveillantes, telles que le vol d'informations personnelles identifiables (PII), les captures d'écran et l'exfiltration de fichiers.

Comment le logiciel malveillant Hook peut prendre le contrôle d'un appareil infecté pour voler des données bancaires et financières

La souche Hook, dérivée du code source ERMAC original, possède plusieurs capacités avancées qui la rendent particulièrement dangereuse pour les appareils Android. L'ajout le plus important en termes de capacités se présente sous la forme de ce que les pirates appellent VNC (virtual network computing). VNC est une implémentation spécifique d'une application de partage d'écran qui permet de prendre le contrôle à distance de l'appareil infecté. Hook est capable d'accéder à distance et de prendre le contrôle complet de l'appareil (DTO) grâce à l'utilisation d'outils d'accès à distance (RAT).

Pour ce faire, il utilise les autorisations accordées par les services d'accessibilité de l'appareil pour interagir avec les éléments de l'interface utilisateur nécessaires à l'exécution d'un large éventail d'opérations. Les attaquants peuvent ainsi prendre le contrôle d'un appareil infecté, ce qui leur permet d'exécuter des commandes, de voler des données et d'effectuer d'autres activités malveillantes. Le nouveau logiciel malveillant peut également simuler des clics, des pressions sur des touches, des pressions longues et des gestes, accéder à des zones de texte, déverrouiller des appareils et géolocaliser des utilisateurs. Hook est également doté de fonctions de communication WebSocket et crypte son trafic à l'aide d'AES-256-CBC avec une clé codée en dur.

L'impact de Hook sur les services bancaires et financiers peut être grave. Si le téléphone d'un utilisateur du système d'exploitation Android est infecté par Hook, les cybercriminels peuvent potentiellement accéder aux identifiants bancaires, voler des données financières sensibles et même initier des transactions bancaires frauduleuses au nom de l'utilisateur.

Ce que les organisations peuvent faire pour se protéger contre Hook

Pour protéger les applications Android contre Hook et d'autres souches d'ERMAC, les entreprises doivent mettre en œuvre une approche de sécurité mobile multicouche qui inclut le bouclier applicatif. Le bouclier applicatif est une technique de sécurité qui ajoute une couche de protection supplémentaire aux applications mobiles. Elle agit sur deux fronts :

1. (1) elle rend plus difficile la rétro-ingénierie ou l'altération du code de l'application par les acteurs de la menace en appliquant un ensemble de techniques comprenant l'obscurcissement et le cryptage des données.
2. (2) Il ajoute une autoprotection de l'application en cours d'exécution (RASP), ce qui empêche les logiciels malveillants d'interagir avec l'application lorsqu'elle est en cours d'exécution sur le téléphone.

Dans le cas de Hook, l'obscurcissement offert par le bouclier applicatif rendra difficile pour les attaquants d'analyser et de comprendre le code et la fonctionnalité de l'application, ce qui à son tour rendra plus difficile pour eux d'écrire des scripts d'attaque ciblés. L'aspect RASP du bouclier ajoutera une couche de protection capable de détecter en temps réel toute tentative d'accès à des données sensibles ou d'exécution d'activités malveillantes par le logiciel malveillant.

OneSpan Mobile App Shielding bloque les lecteurs d'écran non fiables au moment de l'exécution et permet de quitter l'application mobile en toute sécurité. D'autres opérations sensibles sont également bloquées par précaution. App Shielding est un outil efficace pour protéger les applications mobiles contre Hook et d'autres logiciels malveillants. Il s'intègre de manière transparente dans les applications existantes pour détecter, atténuer et protéger contre les attaques au moment de l'exécution, telles que l'injection de code, le débogage, l'émulation, la mise en miroir de l'écran et l'accrochage de l'application.

En ajoutant cette couche supplémentaire de protection aux applications mobiles, les entreprises peuvent réduire de manière significative le risque d'une attaque réussie et améliorer leur posture de sécurité globale. L'application reste protégée même sur les appareils compromis et contre les attaques inconnues.

A titre d'exemple, BankID s'est associé à OneSpan pour renforcer la sécurité de l'identité numérique norvégienne en utilisant les solutions OneSpan Cloud Authentication with Mobile Security Suite et App Shielding. L'authentification multifactorielle de OneSpan assure la sécurité des applications en ligne et mobiles grâce à une approche de défense en profondeur multicouche qui garantit une authentification forte du client.

En outre, App Shielding protège le code de l'application mobile, les secrets et les informations personnelles contre les acteurs malveillants, même dans le cas d'un nouveau logiciel malveillant tel que Hook.

Pourquoi la meilleure défense contre les logiciels malveillants est une approche à plusieurs niveaux ?

L'App Shielding est un élément important d'une stratégie globale de sécurité mobile, qui doit être mise en œuvre conjointement avec d'autres mesures de cybersécurité telles qu'une authentification forte des transactions et des flux d'autorisation, des audits de sécurité réguliers, une analyse des vulnérabilités et la protection des données.

Hook est une nouvelle souche d'ERMAC qui représente une menace importante pour les organisations, avec des capacités avancées qui la rendent difficile à défendre. Il est essentiel que les organisations prennent dès aujourd'hui des mesures proactives pour protéger leurs systèmes et leurs données à l'aide d'une approche de sécurité multicouche. Cette approche devrait inclure le blindage des applications ainsi que d'autres mesures de sécurité telles que l'authentification forte des clients et l'évaluation proactive des risques liés aux appareils.

La technologie Mobile App Shielding de OneSpan peut être mise en œuvre en quelques minutes pour protéger les applications contre Hook et d'autres souches d'ERMAC.

Contactez un expert en sécurité ou demandez une démonstration pour protéger vos applications et vos utilisateurs dès aujourd'hui.