Promon, un partenaire de Lookout, a signalé sur Strandhogg, une vulnérabilité dans l’OS Android qui permet à une application d’afficher une activité dans le contexte de l’interface utilisateur d’une autre application. Cette vulnérabilité peut être exploitée par les attaquants par le biais de superpositions d’écran, comme dans les chevaux de Troie bancaires et la collecte de permissions. Au cours de la phase de recherche, Promon a fait appel à Lookout pour l’aider à trouver et à identifier les applications qui exploitent Strandhogg. Après avoir examiné leur ensemble de données, Lookout a identifié 36 applications malveillantes exploitant la vulnérabilité de Strandhogg, dont des variantes du cheval de Troie bancaire Bankbot observées dès 2017.
» Quelque soit la plateforme, les acteurs malveillants sont toujours inventifs pour voler de l’argent aux entreprises comme aux particuliers, c’est donc important de traiter le risque autour des mobiles comme celui pour les ordinateurs. Une vulnérabilité Android mettra plusieurs semaines à être patchée par les constructeurs et pendant ce temps, l’ensemble des terminaux mobiles est vulnérable à ce type de menace. » déclare Bastien Bobe CTO chez Lookout.
Une tactique courante pour les chevaux de Troie bancaires consiste à tromper les utilisateurs pour qu’ils divulguent leurs identifiants bancaires à l’attaquant en affichant un faux écran de connexion sur des applications bancaires mobiles légitimes. Les attaquants sont alors en mesure de créer des transactions financières frauduleuses. Bien qu’Android dispose de protections pour se défendre contre les attaques par superposition, en utilisant Strandhogg, les attaquants peuvent toujours monter une attaque même contre les versions actuelles d’Android.
Protéger les organisations contre les chevaux de Troie bancaires
Les attaques par superposition d’écrans contre les institutions financières ont considérablement augmenté au cours des 18 derniers mois. En février 2018, les chercheurs de Lookout ont découvert 7 700 échantillons de BancaMarStealer – ciblant plus de 60 institutions financières dans le monde. Grâce à leur partenariat stratégique, Lookout et Promon offrent conjointement aux développeurs d’applications mobiles la possibilité de protéger l’intégrité de leurs applications, d’empêcher les attaquants d’effectuer une rétro-ingénierie du code, de reconfigurer les applications mobiles, d’empêcher la connexion par code malveillant au moment de l’exécution et une variété d’attaques par écran superposé. Armé d’un ensemble de données de plus de 70 millions d’applications, Lookout App Defense peut identifier divers types de logiciels malveillants, y compris les chevaux de Troie d’attaque avancés, en utilisant un comportement prédictif et une analyse de similarité binaire pour les applications sur l’appareil d’un utilisateur. Lorsque des logiciels malveillants sont détectés, diverses mesures correctives sont prises en fonction de la gravité de la menace, notamment le blocage de l’authentification, la lecture seule ou l’interdiction d’accès aux données sensibles des clients.