SpyNote est une famille de malware Android dangereux, vendus pour la première fois sur le dark web en 2021. Après la fuite du code source en 2022, de nombreuses variantes ont été mises en circulation. La dernière de ces variantes vise spécifiquement les institutions financières, telles que HSBC, Deutsche Bank, Kotak Bank, BurlaNubank et Bank of America.
SpyNote est un spyware Android qui abuse des services d'accessibilité, développés à l'origine pour les personnes handicapées. Il détecte ce qui se passe à l'écran et exécute des actions malveillantes en fonction. Une fois l'application installée et la permission d'accessibilité obtenue, le logiciel espion l'utilise pour accepter automatiquement d'autres permissions. De cette façon, les cybercriminels derrière le spyware ont accès à tout ce qui se trouve sur l'appareil : les messages SMS des utilisateurs, le journal des appels, les contacts, la localisation GPS, les fichiers, les photos, l'appareil photo, le microphone...
Nous avons récemment observé qu'une nouvelle version de SpyNote présente des capacités avancées similaires à celles d'un malware bancaire. Il est conçu pour effectuer une attaque en deux étapes, dont la seconde consiste à voler les données bancaires. Pour ce faire, il accède à la liste des applications installées et invite l’utilisateur à installer une fausse version de l'application bancaire qu'il utilise. Il utilise ensuite des techniques d'enregistrement de frappe et de saisie de 2FA pour voler les identifiants des utilisateurs.
Actuellement, presque toutes les banques utilisent une authentification forte du client pour confirmer une transaction financière. Mais comme les pirates qui utilisent SpyNote ont un accès total aux appareils infectés, ils sont capables de contourner l'authentification à deux facteurs. Lorsque le code de sécurité est généré par une application d'authentification ou envoyé par SMS ou par courrier électronique, ils l'interceptent.
SpyNote utilise différentes techniques d'esquive de la défense, telles que l'obscurcissement, le junk code et les contrôles anti-émulateurs pour empêcher son lancement et son analyse dans un émulateur ou un sandbox par les analystes cybersécurité. Lorsque l'attaque réussit, les informations volées sont monnayées sur le dark web et/ou sont utilisées pour commettre des fraudes bancaires.
Les institutions financières ont été la principale cible de SpyNote au cours des derniers mois, avec des banques ciblées au Royaume-Uni, en Allemagne, en Inde et en Amérique. En outre, les pirates se concentrent également sur les opérateurs de services essentiels. Récemment, des utilisateurs japonais ont été la cible d'une attaque SpyNote se faisant passer pour des fournisseurs d'électricité ou d'eau. L'utilisation d'organisations vitales crée un sentiment d'urgence chez la victime et l'incite à agir immédiatement.
Outre les pirates qui risquent évidemment des poursuites judiciaires, à l'avenir, cela pourrait également être le cas pour les entreprises dont l'application est contrefaite. La directive européenne NIS2, qui entrera en vigueur en 2024, prévoit que les applications et les services mobiles doivent être protégés. Elle conseille de détecter les vulnérabilités des systèmes, de réaliser des tests d'intrusions et des audits de sécurité. Une application qui peut être facilement clonée et donc utilisée dans des cyberattaques pourrait ainsi entraîner une sanction pour l'entreprise.
Maintenant plus que jamais, la publication d’applications mobiles ne doit jamais se faire sans une validation préalable de leur sécurité, spécialement dans les secteurs où les données manipulées sont sensibles.
Pour assister les entreprises, Pradeo propose une boite à outils permettant de maitriser la confidentialité et la sécurité des applications mobiles tout au long de leur cycle de vie, du développement aux opérations.
L’outil automatisé d’audit de conformité des applications mobiles de Pradeo permet :
Les outils AppSec complémentaires de Pradeo permettent aux responsables de la sécurité des applications :