Évolution des attaques sur les applications mobiles : Conseils pour les banques et les institutions financières en Australie

Les clients des banques dépendent de plus en plus des canaux mobiles pour leurs besoins financiers. Selon les données du rapport Forrester State of Digital Banking 2022, 42 % des adultes australiens en ligne déclarent utiliser l'application mobile de leur banque pour effectuer leurs opérations bancaires. L'année dernière, la Commission australienne de la concurrence et de la consommation (ACCC) a signalé une augmentation significative des pertes dues aux escroqueries par hameçonnage (261 %), aux escroqueries par accès à distance (144 %) et au vol d'identité (234 %). Il s'agit d'un canal lucratif pour les cybercriminels, qui ne changera pas en 2022.

Récemment, des chercheurs ont observé des preuves supplémentaires que les applications bancaires mobiles sont une cible extrêmement attrayante pour les fraudeurs. Les chercheurs ont découvert que les acteurs malveillants ont adapté leurs techniques pour trouver de nouveaux moyens de contourner les restrictions du Google Play Store. Des applications "dropper" apparemment inoffensives sont restées sans danger pendant des mois, jusqu'à ce qu'elles soient lentement mises à jour avec du code malveillant. En raison de la lenteur de ces attaques, de simples analyses antivirus ne permettaient pas d'identifier la menace. Une fois qu'ils étaient prêts, les fraudeurs utilisaient le code pour télécharger des applications sans l'autorisation de l'utilisateur et, en fin de compte, des chevaux de Troie bancaires Android.

En 2022, alors que Google continue d'actualiser la manière dont il contrôle les applications sur son Play Store, les institutions financières doivent s'attendre à ce que les campagnes de fraude mobile continuent d'évoluer et de passer à travers les mailles du filet malgré les bonnes intentions de Google.

Il est essentiel de comprendre que la sécurité n'est jamais un point dans le temps. Cependant, l'hygiène de sécurité de l'appareil d'un utilisateur peut changer au fil du temps. Dans le cas présent, avant que l'application ne télécharge la charge utile malveillante, on peut supposer que l'appareil était sécurisé. Voyons donc comment ces attaques se sont produites, ce qu'elles ont fait et comment les banques peuvent prendre de l'avance afin d'atténuer les attaques similaires dont leurs clients pourraient être victimes à l'avenir.

Les leçons à tirer - du mobile aux comptes bancaires

Les applications mobiles sont créées à partir de centaines, voire de milliers, de lignes de code. En fin de compte, Google Play automatise une grande partie des analyses afin de détecter les codes malveillants pour des milliers d'applications chaque jour. Nous constatons aujourd'hui que les applications utilisées pour infiltrer les magasins d'applications disposent d'une certaine fonctionnalité et semblent sûres grâce à des analyses de détection trompeuses, jusqu'à ce que les cybercriminels déploient l'attaque.

Une fois le code malveillant téléchargé, les attaquants peuvent facilement tromper les utilisateurs en les invitant à télécharger une mise à jour de l'application à partir d'une source inconnue ou tierce.

Cette mise à jour permet aux cybercriminels d'abuser des paramètres d'accessibilité - conçus pour simplifier l'utilisation des téléphones par les personnes handicapées - afin d'automatiser les fonctions de l'appareil mobile à des fins de fraude. Certaines de ces applications malveillantes ont permis aux fraudeurs d'abuser de ces paramètres pour mener des attaques par superposition et intégrer des enregistreurs de frappe afin de voler des noms d'utilisateur et des mots de passe ou d'exécuter des lignes de code pour dérober des données personnelles. Pour faire face à ces menaces, les différents secteurs devront être proactifs en matière de sécurité des applications mobiles.

La sécurité en tant que partenariat

Google et les autres fournisseurs de boutiques d'applications vont continuellement revoir leurs procédures de sécurité afin de rendre leurs plateformes et leurs appareils plus sûrs. Mais les grandes entreprises technologiques comme Google doivent gérer en permanence un si grand nombre de nouvelles applications et de mises à jour qu'il est inévitable que de nombreuses applications malveillantes se frayent un chemin jusqu'à la boutique.

Par ailleurs, il existe depuis longtemps une volonté d'éduquer les clients sur les menaces qui pèsent sur eux. Les banques font des efforts notables pour avertir les clients des menaces potentielles, comme cliquer sur des liens suspects par SMS ou par courriel ou ne rien télécharger sur leur appareil à partir d'une source non fiable.

Mais la vérité est qu'inévitablement, quelqu'un commettra une erreur car les fraudeurs utilisent diverses techniques pour gagner la confiance d'un utilisateur. Avec des applications qui semblent totalement inoffensives, il n'est que trop facile d'en arriver là. Lorsque les banques avertissent leurs clients de menaces spécifiques, il est probable que les fraudeurs aient déjà dépassé ces techniques et trouvé de nouveaux moyens de tromper leurs victimes sans méfiance.

Même si les grandes entreprises technologiques mettent proactivement à jour les exigences de sécurité pour leurs boutiques d'applications et éduquent collectivement leurs clients, les technologies de sécurité avancées sont essentielles pour combler les lacunes et atténuer les activités potentiellement frauduleuses - qu'il s'agisse d'une menace connue ou inconnue.

Une assurance de sécurité même dans des environnements peu sûrs

Les banques et les institutions financières n'ont aucun contrôle sur ce que font leurs utilisateurs sur leurs appareils mobiles en dehors de leurs applications. La première étape de la sécurisation des applications bancaires mobiles consiste donc à supposer que les applications fonctionnent en permanence dans des environnements peu sûrs. Sans cette approche, la sécurité est implicitement sous-traitée aux grandes entreprises technologiques. Cependant, les clients attendent toujours de leur banque qu'elle protège l'argent sur leurs comptes.

Pour limiter ces types d'attaques, les applications bancaires doivent déployer une technologie capable d'identifier toute activité malveillante ou interférence avec une application mobile avant que les fonds ne soient volés - même lorsque des menaces jusque-là invisibles ont ciblé les clients. Le bouclier applicatif, associé à une authentification forte du client, peut limiter le vol de mot de passe et garantir l'intégrité de l'environnement d'exécution d'une application afin de détecter toute interférence malveillante avec l'application et de l'arrêter, même sur les appareils infectés.

Le bouclier applicatif garantit une sécurité solide contre les menaces inconnues sur les appareils non fiables, mais les mécanismes de sécurité sur lesquels il repose n'ont que peu ou pas d'impact sur l'expérience de l'utilisateur.

Lorsque l'on évoque les dernières techniques utilisées par les fraudeurs pour commettre des fraudes, on s'aperçoit qu'ils sont déjà en train de planifier et d'innover pour leur prochaine campagne. Au cours de l'année à venir, les chercheurs continueront à documenter de nouvelles menaces et techniques, mais pour atténuer les dommages que ces futures menaces peuvent causer, il faut mettre en œuvre des technologies avancées, capables d'identifier et de prévenir les nouvelles menaces au fur et à mesure de leur apparition.

Ce blog, rédigé par Ralitsa Miteva, responsable de l'identité numérique et de la sécurité mobile chez OneSpan, a été publié pour la première fois sur TechnologyDecisions.com le 9 mars 2022 .