La vérité sur le cheval de Troie Android EventBot qui prétendument contourne 2FA

The Truth About the EventBot Android Trojan That Allegedly Bypasses 2FA

À la fin du mois d’avril, les rapports d’une nouvelle souche de logiciels malveillants bancaires mobiles pour Android qui peuvent prétendument contourner l’authentification à deux facteurs a attiré mon attention. Le nouveau malware cible près de 200 applications de services financiers mobiles dans de multiples zones géographiques, y compris les États-Unis, l’Italie, le Royaume-Uni, l’Espagne, la Suisse, la France et l’Allemagne. Mais quoi de neuf dans cette souche ? Quelle est la gravité de la menace? Que doivent faire les développeurs pour se protéger eux-mêmes et leurs utilisateurs contre ces menaces similaires ? Ce qui suit est ce que j’ai découvert en consultation avec certains de nos experts en sécurité des applications mobiles et en examinant la recherche en sécurité et divers rapports des médias.

Analyse des logiciels malveillants Android EventBot

Tout d’abord, il s’avère qu’il n’y a pas besoin de paniquer. EventBot n’a pas été trouvé pour faire partie d’aucune campagne active pour le moment. Cependant, cela pourrait changer n’importe quel jour, et c’est un rappel à chacun d’entre nous de ne pas être complaisant ou paresseux. Les chercheurs qui ont découvert EventBot ont dit qu’il est dans ses «premiers stades» et en cours de développement actif. Alors que EventBot n’est pas nécessairement plus sophistiqué ou dangereux que les chevaux de Troie bancaires mobiles du passé, les chercheurs en sécurité qui l’ont découvert ne croient qu’il s’agit d’une souche nouvelle et non pas un simple clone ou une copie d’autres chevaux de Troie bancaires mobiles déjà là-bas. Cela sert de preuve que les criminels ne voient toujours la valeur dans l’investissement de temps, d’efforts et d’argent dans la création d’innovations mobiles logiciels malveillants bancaires. Et, tant que les attaquants voient la valeur en elle, c’est un signal que les développeurs, Apple, Google, et les transporteurs cellulaires laissent des lacunes de sécurité dans leurs applications que les individus malveillants seront facilement exploiter pour le profit.

Comment fonctionne le malware Android Eventbot et comment atténuer les risques

EventBot utilise le même sac de trucs que la plupart des logiciels malveillants mobiles ciblant les applications bancaires, y compris des fonctionnalités telles que la lecture de messages SMS, le lancement d’attaques de superposition, et l’exécution d’autres activités malveillantes telles que keylogging. Les superpositions sont assez courantes de nos jours; une étude l’été dernier a révélé que 51 pour cent des applications Android malveillantes utilisent des attaques de superposition. Avec un écran de superposition, le malware présente une autre fenêtre au-dessus de l’application légitime afin de tromper les utilisateurs en divulguant leurs informations d’identification ou d’autres informations. Le malware gagne sa puissance en incitant l’utilisateur à lui accorder un certain nombre d’autorisations puissantes - abuser de la fonctionnalité d’accessibilité d’Android.

Une fois accordé ces autorisations, le malware Android peut enregistrer des frappes pour voler des informations d’identification et les envoyer à l’attaquant, ainsi que lire les notifications et le contenu affichés par une application ciblée. Les développeurs peuvent atténuer les risques d’EventBot avec quelques pratiques exemplaires simples en matière de cybersécurité :

  1. Supposons que votre application fonctionnera dans certains cas dans des environnements mobiles hostiles tels qu’un appareil Android infecté par des logiciels malveillants. Prenez des précautions pour coder votre application en toute sécurité. Par exemple, ne stockez pas de données dans le stockage externe partagé auquel toutes les applications, malveillantes ou non, peuvent accéder.
     
  2. N’utilisez pas les codes envoyés par SMS pour authentifier les utilisateurs. Rien n’est parfait, mais les notifications push sont un meilleur choix.
     
  3. Ajoutez une couche supplémentaire de protection aux applications bancaires mobiles avec le blindage des applications, également appelé autoprotection d’applications en temps d’exécution, pour empêcher les logiciels malveillants de falsifier l’environnement de fonctionnement de votre application mobile.

Pensées de clôture sur le malware EventBot

Bien que EventBot ne semble être une nouvelle souche de logiciels malveillants, il n’est pas nécessairement plus sophistiqué que d’autres logiciels malveillants que nous avons vu dans le passé. Un expert en sécurité qui a analysé EventBot a déclaré qu’ils ne seraient pas l’évaluer dans les trois principaux logiciels malveillants les plus dangereux qui abusent des services d’accessibilité et l’appelle juste un "keylogger avec des autorisations supplémentaires." Prendre les précautions appropriées contre la collecte plus large de menaces de cybersécurité mobiles là-bas sera probablement protéger vos utilisateurs contre de telles attaques. En particulier, après avoir testé, nous savons que l’option de blindage de l’application dans la suite de sécurité mobile de OneSpan peut détecter et interdire les activités de lecture d’écran d’EventBot. Si l’appareil d’un utilisateur était infecté par le malware EventBot, mais que l’application mobile utilisée avait mis en œuvre le blindage de l’application OneSpan, le malware ne serait pas en mesure de lire le contenu de l’écran même si l’utilisateur accordait des autorisations d’accessibilité à l’application.

Mobile App Shielding
Livre blanc

Protection des applications mobiles : comment réduire la fraude, faire des économies et protéger les revenus

Si vous avez aimé ce podcast, téléchargez ce livre blanc. Découvrez comment le blindage des applications avec la protection des temps d’exécution est essentiel au développement d’une application bancaire mobile sécurisée et résiliente.

Télécharger

Sam est senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaines de la sécurité de l'information.