Depuis le mois de juin, une vague d'infections par SpyNote ciblant les applications bancaires a été signalée. Une nouvelle version du spyware distribuée par des campagnes de phishing ou smishing (par SMS) est désormais spécifiquement conçue pour commettre des fraudes bancaires.
SpyNote est une famille de malware Android dangereux, vendus pour la première fois sur le dark web en 2021. Après la fuite du code source en 2022, de nombreuses variantes ont été mises en circulation. La dernière de ces variantes vise spécifiquement les institutions financières, telles que HSBC, Deutsche Bank, Kotak Bank, BurlaNubank et Bank of America.
Comment fonctionne SpyNote
SpyNote est un spyware Android qui abuse des services d'accessibilité, développés à l'origine pour les personnes handicapées. Il détecte ce qui se passe à l'écran et exécute des actions malveillantes en fonction. Une fois l'application installée et la permission d'accessibilité obtenue, le logiciel espion l'utilise pour accepter automatiquement d'autres permissions. De cette façon, les cybercriminels derrière le spyware ont accès à tout ce qui se trouve sur l'appareil : les messages SMS des utilisateurs, le journal des appels, les contacts, la localisation GPS, les fichiers, les photos, l'appareil photo, le microphone...
Nous avons récemment observé qu'une nouvelle version de SpyNote présente des capacités avancées similaires à celles d'un malware bancaire. Il est conçu pour effectuer une attaque en deux étapes, dont la seconde consiste à voler les données bancaires. Pour ce faire, il accède à la liste des applications installées et invite l’utilisateur à installer une fausse version de l'application bancaire qu'il utilise. Il utilise ensuite des techniques d'enregistrement de frappe et de saisie de 2FA pour voler les identifiants des utilisateurs.
Actuellement, presque toutes les banques utilisent une authentification forte du client pour confirmer une transaction financière. Mais comme les pirates qui utilisent SpyNote ont un accès total aux appareils infectés, ils sont capables de contourner l'authentification à deux facteurs. Lorsque le code de sécurité est généré par une application d'authentification ou envoyé par SMS ou par courrier électronique, ils l'interceptent.
SpyNote utilise différentes techniques d'esquive de la défense, telles que l'obscurcissement, le junk code et les contrôles anti-émulateurs pour empêcher son lancement et son analyse dans un émulateur ou un sandbox par les analystes cybersécurité. Lorsque l'attaque réussit, les informations volées sont monnayées sur le dark web et/ou sont utilisées pour commettre des fraudes bancaires.
Les banques et les opérateurs de services essentiels directement visés
Les institutions financières ont été la principale cible de SpyNote au cours des derniers mois, avec des banques ciblées au Royaume-Uni, en Allemagne, en Inde et en Amérique. En outre, les pirates se concentrent également sur les opérateurs de services essentiels. Récemment, des utilisateurs japonais ont été la cible d'une attaque SpyNote se faisant passer pour des fournisseurs d'électricité ou d'eau. L'utilisation d'organisations vitales crée un sentiment d'urgence chez la victime et l'incite à agir immédiatement.
Outre les pirates qui risquent évidemment des poursuites judiciaires, à l'avenir, cela pourrait également être le cas pour les entreprises dont l'application est contrefaite. La directive européenne NIS2, qui entrera en vigueur en 2024, prévoit que les applications et les services mobiles doivent être protégés. Elle conseille de détecter les vulnérabilités des systèmes, de réaliser des tests d'intrusions et des audits de sécurité. Une application qui peut être facilement clonée et donc utilisée dans des cyberattaques pourrait ainsi entraîner une sanction pour l'entreprise.
Comment protéger des applications mobiles
Maintenant plus que jamais, la publication d’applications mobiles ne doit jamais se faire sans une validation préalable de leur sécurité, spécialement dans les secteurs où les données manipulées sont sensibles.
Pour assister les entreprises, Pradeo propose une boite à outils permettant de maitriser la confidentialité et la sécurité des applications mobiles tout au long de leur cycle de vie, du développement aux opérations.
Faire état de la sécurité actuelle
L’outil automatisé d’audit de conformité des applications mobiles de Pradeo permet :
- D’obtenir en quelques clics une analyse de conformité intégrant les lois de protection des données et des critères personnalisables
- De voir en un coup d’œil si l’application manipule des données personnelles
- De détecter avec précision les manipulations de données réalisées par une application et ses librairies, en spécifiant s’il s’agit d’une utilisation en local, d’un envoi à l’extérieur de l’appareil, d’une modification ou d’une suppression. Cette information est complétée par le lieu de stockage ou d’envoi des données les cas échéants.
- D’identifier les librairies qui ont des comportements cachés et des vulnérabilités
- De mettre le doigt sur les risques à remédier avant publication d’une application
- De justifier d'un travail de sécurisation des applications en montrant un résultat d'audit conforme
Remédier aux failles et se protéger face aux attaques extérieures
Les outils AppSec complémentaires de Pradeo permettent aux responsables de la sécurité des applications :
- D’identifier et de remédier en continu aux vulnérabilités des applications dès leur conception
- De renforcer le code des applications pour prévenir le vol ou l’usurpation (clonage)
- De surveiller les applications mobiles lors de leur utilisation pour détecter et répondre aux menaces extérieures rencontrées
- De détecter les applications contrefaites tentant de se connecter au serveur des organisations en prétendant être légitimes
