Archives de catégorie : Smartphone

hotspot free : WiFi dans le commerce de détail, les erreurs à éviter

Hotspot free – Nous sommes arrivés au point où la plupart d’entre nous emportent constamment au moins un équipement connectable par WiFi. Selon le rapport VNI 2016 de Cisco, d’ici 2021, plus de 540 millions de hot spots publics seront opérationnels dans le monde. Et déjà aujourd’hui, beaucoup d’enseignes de distribution ont réalisé qu’offrir à leurs clients un réseau WiFi fiable fait partie des impératifs incontournables. En tant que commerçant, voici quelques conseils ; en tant que client, voici pourquoi votre wifi connecté chez un commerçant en dira beaucoup « trop » sur vos agissements.

Mais le WiFi gratuit, le hotspot free est devenu bien plus qu’un simple outil pour se connecter à Internet. Les enseignes ne peuvent pas simplement le ‘brancher puis l’oublier’ s’ils veulent retirer tous les avantages de leur réseau sans fil. Voici les 5 erreurs principales que font les commerçants lorsqu’ils offrent le WiFi gratuit à leurs clients. Pour le client, l’utilisation d’un VPN est une obligation !

1 – hotspot free : Pas de page de démarrage ou de portail captif.

Il est nécessaire de ne pas oublier de mettre en place une page de démarrage ou un portail captif lorsque de l’installation d’une réception WiFi pour la clientèle. Beaucoup de commerçants offrent simplement le WiFi gratuit avec un vieil écran « cliquer ici pour accepter les conditions générales ». Les visiteurs sont capables de contourner rapidement ces écrans pour accéder à Internet lorsqu’ils sont dans le magasin, privant l’enseigne d’un grand nombre d’informations client et de prospects potentiels.

Des pages de démarrage personnalisables et des portails captifs peuvent collecter des informations client utiles telles que des adresses email, des numéros de téléphone mobile, des comptes de réseaux sociaux, ou d’autres encore en échange d’un accès Internet. Ce processus aide le commerçant à mieux cibler son audience et à s’adresser à une base de clients plus large. Obtenir une authentification pour de grands canaux de réseaux sociaux tels que Facebook, Twitter et Instagram lui fournira en outre l’opportunité d’accéder à un éventail d’informations plus large telle que la ville de résidence, les écoles fréquentées, les goûts vestimentaires, etc.

Au minimum, la page de démarrage du réseau WiFi doit pouvoir collecter des données démographiques de base telle que le genre et l’âge.

2 – hotspot free : Exposer les clients à des escrocs ou des ‘pirates’.

Comme la plupart des professionnels de la distribution en sont déjà conscients, aucune organisation ne peut plus se permettre d’ignorer les principales de base de la cyber sécurité. Les hot spots WiFi publics sont d’attractifs terrains de chasse pour les pirates. Sans l’utilisation de mesures de protection adéquates, des pirates peuvent facilement intercepter des informations personnelles appartenant aux invités sur le réseau, telles que des adresses email, des numéros de carte de crédit et d’autres données sensibles. Mais la sécurité du réseau WiFi n’est pas simplement un moyen de protéger des clients. Elle permet également de protéger la réputation de l’enseigne elle-même.

Comment la sécurité WiFi fonctionne-t-elle exactement ? Les systèmes WIPS (Wireless Intrusion Prevention System) sont une solution de sécurité de réseau sans fil couramment utilisée pour défendre les réseaux WiFi contre le cyber espionnage. Le problème est que la plupart de ces solutions sont onéreuses et que, bien que découvrir et bloquer des hackers dans l’environnement immédiat leur soit relativement facile, la plupart de ces solutions ne peuvent faire précisément la distinction entre des équipements et des points d’accès véritablement malicieux et d’autres légitimes au voisinage du point de vente. Ce problème de faux positifs peut entraîner des systèmes WIPS à couper par inadvertance d’inoffensifs équipements ou points d’accès dans le voisinage – une erreur qui peut nuire à la réputation de l’enseigne ou même avoir des conséquences juridiques. Beaucoup de commerçants désactivent en fait la fonction préventive de leur système WIPS pour éviter de prendre ce risque.

La bonne nouvelle est que les solutions de sécurité WiFi haute performance ne sont plus réservées à de très grandes entreprises disposant de ressources illimitées, et qu’il existe de nouvelles technologies qui éliminent virtuellement les faux positifs des systèmes WIPS. Il est donc désormais possible de protéger son réseau sans fil et ses clients avec un système WIPS qui peut classer automatiquement et avec précision les équipements connectés et les points d’accès dans les catégories autorisé, externe et pirate, et réagir en conséquence.

De plus, comme le sait toute entreprise de distribution, maintenir une conformité complète avec la norme PCI est essentiel, même si ce standard est chaque année de plus en plus strict. Ceci posé, la conformité à cette norme ne suffit pas à elle seule à garantir la sécurité des clients et de l’enseigne. En fait, un standard PCI pour la sécurité des réseaux sans fil n’exige de n’effectuer des scans réguliers pour identifier des points d’accès pirates qu’une fois par trimestre. Ceci correspond à un seul scan tous les 90 jours ! Donc encore une fois, la conformité est importante, mais elle doit être associée à une protection WIPS complète en 24/7, 365 jours par an.

3 – hotspot free : Perdre des ventes au profit des géants du e-commerce.

L’enseigne fait-elle tout ce qui est en son pouvoir pour garantir que des clients n’utilisent pas ses points de vente simplement comme un showroom pour voir ou essayer des produits avant de dénicher le meilleur prix en ligne sur des sites marchands concurrents ? De nombreuses techniques d’engagement mobile existent pour entamer le dialogue avec les visiteurs lorsqu’ils se connectent au réseau WiFi. Ces outils permettent aux enseignes d’étendre leurs stratégies d’engagement au-delà de la page d’accueil et de fournir à leurs invités une expérience personnalisée qui leur apporte des informations pertinentes au moment le plus opportun.

Par exemple, des outils d’interception d’URL permettent de présenter aux consommateurs présents sur le réseau WiFi des coupons, des codes de réduction ou des messages spécifiques lorsqu’ils comparent les prix du magasin à ceux d’autres sites marchands. Le réseau WiFi peut aussi être utilisé comme un canal supplémentaire pour communiquer directement avec les clients via SMS, MMS ou leur réseau social préféré. En outre, des enquêtes délivrées via WiFi pourront aider l’enseigne à mieux connaître les opinions et les comportements de ses clients. Elle pourra ainsi ajuster sa stratégie marketing en conséquence, tout en montrant à ses clients qu’elle reste à leur écoute.

4 – hotspot free : Négliger les outils d’analytics WiFi.

Un client qui entre dans un point de vente physique doit être considéré de la même façon que s’il visitait le site web de l’enseigne. Les informations sur les chemins qu’il a emprunté, les rayons qu’il a traversés, la durée de sa visite et les achats qu’il a effectués peuvent être cruciales pour la stratégie marketing immédiate et future.

Beaucoup de chaînes de distribution n’arrivent pas à utiliser les fonctions d’analytics de leurs réseaux WiFi pour comprendre le taux de fréquentation, la durée moyenne de visite de leurs clients et d’autres paramètres qui peuvent les aider à optimiser l’agencement de leurs points de vente. Le réseau WiFi est capable de fournir des quantités massives de données client collectées via des scans passifs, actifs et d’autres connexions des utilisateurs au sein ou autour des réseaux WiFi. Lorsqu’elles sont correctement analysées, ces informations peuvent révéler des parcours client privilégiés, des comportements et les caractéristiques démographiques des utilisateurs du WiFi, qui peuvent toutes être utilisées pour mieux optimiser l’offre et l’agencement des points de vente.

5 – hotspot free : Ne pas privilégier la sécurité Internet pour les familles et les enfants.

En plus de protéger le réseau WiFi contre les pirates, les enseignes doivent vérifier qu’elles prennent les précautions nécessaires pour permettre à leurs invités de tous âges de profiter d’un accès Internet sans risquer de rencontrer des contenus non désirés. Une excellente ressource pour la sécurité de la navigation Internet est Friendly WiFi, une organisation qui fournit un standard certifiant qu’un lieu public fournit une connexion Internet sécurisée et filtrée. Ces lieux et points de vente affichent clairement l’emblème Friendly WiFi, aisément reconnaissable.

Le WiFi peut changer la donne pour une enseigne de distribution, pour le meilleur ou pour le pire. Un hotspot free laissé sans protection, un réseau WiFi ouvert aux visiteurs sur un point de vente peut exposer les données personnelles de ses clients et visiteurs à des pirates. Inversement, un réseau WiFi sécurisé et correctement exploité peut fournir une expérience en ligne sûre et efficace aux clients, qui aideront l’enseigne à créer des interactions positives avec eux, à accroître leur niveau de satisfaction et les ventes. Pour les clients, l’utilisation d’un VPN est une obligation. Cela empêchera toute fuite de données et d’informations liées à votre vie privées, autres que celles que vous fournissez volontairement, via votre smartphone.  (avec Pascal Le Digol Country Manager France de WatchGuard)

CopyCat : 14 millions de terminaux Android infectés, 1 million de revenus en 2 mois

La Research Team de Check Point vient d’identifier un tout nouveau malware – CopyCat – qui a infecté 14 millions de terminaux Android, dont 8 millions ont subi un « rootage », ce qui permet à l’attaquant d’obtenir des accès système qu’un utilisateur lambda ne possède pas (contrairement à un administrateur par exemple). 

Cette cyberattaque a permis aux cybercriminels de récolter 1,5 millions de dollars, en deux mois, grâce à de la publicité malveillante. CopyCat utilise une toute nouvelle méthode pour générer et voler des revenus issus de la publicité.
Le logiciel malveillant, baptisé CopyCat par les chercheurs utilise une nouvelle technique pour générer et voler des revenus publicitaires. Alors que les utilisateurs infectés par CopyCat sont principalement en Asie du Sud-Est, CC a touché plus de  280 000 utilisateurs d’Android aux États-Unis.
CopyCat est un logiciel malveillant entièrement développé avec de vastes fonctionnalités, y compris des dispositifs d’enracinement, l’établissement de la persistance et l’injection de code dans Zygote – un démon responsable du lancement d’applications dans le système d’exploitation Android – qui permet aux logiciels malveillants de contrôler toute activité sur le périphérique.
CopyCat est une vaste campagne qui a infecté 14 millions d’Android dans le monde, et piégeant 8 millions d’entre eux, dans ce que les chercheurs décrivent comme un taux de réussite sans précédent. Les chercheurs de Check Point estiment que le malware a généré 1,5 million de dollars pour le groupe derrière la campagne.

Des publicités malveillantes détectées sur Android

Publicités malveillantes dans votre smartphone ! Il y a quelques jours, l’équipe du Threatlabz Zscaler a identifié une application Android se téléchargeant d’elle-même à partir de publicités postées sur des forums. Le malvertising est un problème qui ne cesse de prendre de l’ampleur. Ces publicités se retrouvent principalement sur des sites SSL à visée malveillante. Sur l’un de ces forums baptisé « GodLike Productions », les visiteurs se sont plaint d’une application se téléchargeant automatiquement mais leurs messages ont été supprimés ou ignorés par les administrateurs permettant à la situation de se perpétuer. Dans ce cas particulier, l’App se présente sous la forme d’une « mise à jour sécurité » afin que l’utilisateur termine son installation.

Une fois le package APK téléchargé et installé, l’application se présente sous le nom de « KS Clean », une application de nettoyage Android. L’application affiche ensuite un faux message de mise à jour système où la seule option possible est de cliquer sur le bouton « OK » forçant ainsi l’usager à accepter le message.

Dès que ce dernier accepte, le malware lance l’installation d’un autre APK nommé Update. Lorsqu’elle est ouverte, l’App Update demande les droits d’administration. Une fois les droits obtenus, il est impossible de désinstaller l’application de l’appareil car un utilisateur ne peut pas supprimer une app ayant des droits d’administration. Habituellement, il est possible de retirer les privilèges à l’application dans les paramètres mais dans ce cas de figure, l’app se fait passer pour un récepteur Android pour garder ses privilèges.

Cette vidéo (activer les sous-titres en amont) montre la manière dont le téléphone se bloque lorsque la victime essaie de retirer les privilèges administrateur de l’application.

Cette App est capable de :

  • Lire/Ecrire l’historique
  • Installer/Désinstaller des fichiers système
  • Changer les permissions
  • Télécharger sans autorisation

L’application effraie l’utilisateur en lui faisant croire qu’il y a une faille de sécurité sur son appareil et qu’il doit faire une mise à jour pour éviter de perdre ses informations personnelles. Lorsqu’elle est installée, l’App ne peut plus être supprimée et le malware peut pousser des publicités même si une autre App est déjà lancée. Les utilisateurs Android peuvent prendre les mesures suivantes pour éviter d’être atteints par cette menace :

  • Ne pas cliquer sur des liens inconnus
  • Désactiver les « sources inconnues »
  • Désactiver le téléchargement automatique dans les navigateurs Android

Dvmap : Un nouveau Trojan Android téléchargé 50 000 fois

Des experts ont découvert un nouveau Trojan peu commun, qui se propage via Google Play Store sous la forme d’un jeu.

Baptisé Dvmap, ce Trojan est non seulement capable d’obtenir les droits d’accès root de n’importe quel smartphone Android, mais il peut également prendre le contrôle de l’appareil en injectant un code malveillant dans la bibliothèque système (system library). Si l’attaque réussit, il supprime l’accès root, ce qui lui permet de ne pas être détecté. Ce Trojan a été téléchargé depuis Google Play plus de 50 000 fois depuis mars 2017.

Kaspersky Lab a signalé ce Trojan à Google, qui l’a depuis retiré de sa marketplace.

Pour contourner les contrôles de sécurité de la plate-forme, les créateurs du malware ont mis en ligne une application saine à la fin du mois de mars 2017. Ils l’ont ensuite mise à jour avec une version malveillante pendant une courte période, avant de remettre en ligne une version saine. En seulement 4 semaines, ils ont réalisé cette opération au moins 5 fois.

« Le Trojan Dvmap marque un nouveau développement des malwares Android. Le code malveillant s’injecte directement dans les bibliothèques système, où il est plus difficile à détecter et supprimer. Nous pensons avoir découvert le malware à un stade très précoce . Notre analyse montre que les modules malveillants rendent compte de leurs moindres mouvements aux attaquants et certaines techniques peuvent entrainer une panne des appareils infectés. Il n’y a pas de temps à perdre si nous voulons éviter une attaque de grande envergure, » explique Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.

Pour en savoir plus, consultez le rapport complet de Kaspersky Lab : https://securelist.com/78648/dvmap-the-first-android-malware-with-code-injection/

Judy : Potentiellement la plus grande campagne de malwares détectée sur Google Play

Les chercheurs de chez Check Point viennent de découvrir une nouvelle menace baptisée JUDY, passée sous le radar de la sécurité de Google Play.

Ce malware de publicité frauduleuse est contenu dans 41 applications d’une société Coréenne. Son principe est simple : il produit un grand nombre de clics sur de la publicité, et génère ainsi un revenu important pour les créateurs des applications malveillantes. Check Point estime le nombre de victimes entre 4,5 et 18 millions. Le code malicieux est présent sur Google Play depuis des années, mais il est impossible de savoir depuis quand exactement.

Les applications malveillantes ont atteint un écart étonnant entre 4,5 millions et 18,5 millions de téléchargements. Certaines des applications découvertes résident sur Google Play pendant plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas combien de temps existe le code malveillant dans les applications, d’où la diffusion réelle du malware reste inconnue.

Pirater une voiture connectée : Bosch corrige une faille dans son application mobile

Pirater une voiture connectée! Une faille dans l’outil Drivelog Connect de Bosch permettait de prendre la main sur une voiture connectée et d’arrêter son moteur, alors qu’elle était en marche.

Arrêter une voiture en marche ? Pirater une voiture connectée ? un fantasme informatique ? Le groupe de cyber-recherche Israélien Argus a détecté des lacunes de sécurité dans le dongle Bosch Drivelog Connector et dans son processus d’authentification utilisant l’application Drivelog Connect. Des vulnérabilités qui ont permis aux hackers de prendre le contrôle d’une voiture connectée par le Bluetooth. Une prise de contrôle des systèmes de véhicule essentiels à la sécurité via un dongle Bosch Drivelog Connector installé dans le véhicule.

Une vulnérabilité identifiée dans le processus d’authentification entre le dongle et l’application de smartphone Drivelog Connect a permis de découvrir le code de sécurité en quelques minutes et de communiquer avec le dongle à l’aide d’un appareil Bluetooth standard, tel qu’un smartphone ou un ordinateur portable. Après avoir accédé au canal de communications, il a été facile de reproduire la structure de commande et injecter des messages malicieux dans le réseau embarqué du véhicule.

Pirater une voiture connectée avec un smartphone

En contournant le filtre de messages sécurisé qui était conçu pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis de prendre le contrôle d’une voiture en marche, ce qui a été démontré en arrêtant le moteur à distance. Une description technique complète de l’attaque est publiée dans le blog d’Argus. L’équipe d’intervention en cas d’incident de sécurité des produits (Product Security Incident Response Team, PSIRT) de Bosch a agi de manière décisive et immédiate pour éliminer ces vulnérabilités.

Il est important de noter que l’évolutivité d’une attaque malicieuse potentielle est limitée par le fait qu’une telle attaque requiert une proximité physique au dongle. Autrement dit, le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Qui plus est, une attaque initiale requiert le crack du code PIN pour un dongle donné et l’envoi d’un message CAN malicieux adapté aux contraintes du dongle et du véhicule. Un travail supplémentaire est également réalisé pour limiter encore plus la possibilité d’envoyer des messages CAN non désirés et sera déployé avec d’autres améliorations plus tard dans l’année.

Google Play tourmenté par les faux mods de Minecraft

80 applications malveillantes sur Google Play déguisées en mods dédiés au jeu Minecraft. Ils ont été téléchargés pas loin d’un million de fois.

Au total, les 87 faux mods ont donné lieu à 990 000 téléchargements avant d’être signalés par ESET les 16 et 21 mars 2017. Les applications répertoriées se divisent en deux catégories : le téléchargement de publicités (Android/TrojanDownloader.Agent.JL) et les fausses applications redirigeant les utilisateurs vers des sites Internet frauduleux (Android/FakeApp.FG).

Pour Android/TrojanDownloader.Agent.JL, ESET signale 14 fausses applications ayant causé 80 000 téléchargements, contre 910 000 installations pour les 73 applications malveillantes agissant sous Android/FakeApp.FG. Comme elles ne disposent pas de fonctionnalités réelles et qu’elles affichent de nombreuses publicités agressives, les avis négatifs apparaissent clairement sur Google Play.

Si un utilisateur a téléchargé des mods de Minecraft, il se peut qu’il ait rencontré l’une des 87 applications malveillantes. Il est facile de reconnaître ce type d’escroqueries : l’application ne fonctionne pas et un message apparaît avoir cliqué sur le bouton de téléchargement. Pour les fausses applications qui téléchargent des publicités, il n’y a pas non plus de fonctionnalités permettant de jouer et l’appareil continue d’afficher des publicités injustifiées. Toutefois, comme l’application malveillante est capable de télécharger des applications supplémentaires sur des périphériques infectés, la charge utile responsable des annonces peut, par la suite, être remplacée par des malwares plus dangereux.

Bien que ce qui suit ne soit pas encore entré dans les habitudes des Français, les chercheurs ESET rappellent qu’il est important d’équiper son téléphone portable avec une solution de sécurité efficace et adaptée aux mobiles. Il n’y a pas que les ordinateurs qui peuvent être infectés par un logiciel malveillant.

En 2016, ces derniers ont augmenté de 20% sur Android. Une solution de sécurité pour mobile permet, au même titre que celle dédiée aux ordinateurs, de détecter et supprimer les menaces.

Si un utilisateur souhaite supprimer les menaces manuellement, il doit désactiver les droits d’administrateur du périphérique pour l’application et le module téléchargés en allant dans Paramètres -> Sécurité -> Administrateur de périphériques. Il suffit ensuite de désinstaller les applications en allant dans Paramètres -> Gestionnaire d’applications.

 

Télécoms contre cybercriminalité

Télécoms contre cybercriminalité : perte de 300 milliards de dollars US à l’échelle mondiale en 2016

Telecoms IQ a récemment interrogé André Spantell, gestionnaire des fraudes chez Telia Company, l’une des plus grandes entreprises de télécommunications de Scandinavie, au sujet de la menace que la cybercriminalité pourrait poser à un secteur qui n’est pas prêt à faire face à ces attaques.

André souligne que les méthodes traditionnelles de lutte contre la cybercriminalité ne suffisent plus pour faire face aux nouvelles menaces dans le domaine des télécommunications. Le nouveau paysage de la cybercriminalité n’inclut plus seulement les criminels qui ciblent les revenus ; les opérateurs de télécommunications pourraient faire face à des menaces d’autres acteurs tels que des militants et des États-nations cherchant à obtenir plus d’informations.

André explique ensuite comment le contrecoup d’une attaque n’affecte pas seulement les revenus, mais peut être délétère pour votre image de marque et votre crédibilité sur le marché. « Une mauvaise réputation se traduit par une perte potentielle de millions de dollars et dun grand nombre de clients. »

André souligne que la facilité d’utilisation pour contrecarrer les cyberattaques n’est pas en tête des priorités et que cela peut empêcher certains clients d’adopter certains comportements. Il pense qu’une formation de base devrait être offerte, non seulement aux employés, mais également aux clients afin de les informer eux aussi et de les tenir continuellement au fait des comportements à adopter en ligne afin de protéger leurs données personnelles et sensibles telles que leurs mots de passe, etc.

« Je crois que si tout le monde sinvestissait davantage dans la protection des données sensibles, cela réduirait une partie de la « rentabilité«  pour les fraudeurs tout en amorçant la riposte. Par exemple, si nous commencions à utiliser des systèmes dauthentification à deux facteurs, il serait beaucoup plus difficile pour les criminels daccéder à nos outils, à nos services et à nos téléphones, quels quils soient. »

En 2016, les ransomwares sous Android ont augmenté de plus de 50%

Sur l’ensemble des logiciels malveillants détectés en 2016, la catégorie des ransomwares a augmenté de plus de 50% par rapport à 2015, le plus fort taux de menaces enregistré.

Ransomwares et compagnie ! Au total, il a constaté une augmentation de près de 20% des logiciels malveillants (tous confondus) sous Android en un an. Sur cette plateforme, les ransomwares sont ceux qui se sont le plus développés. Selon le FBI (1), cette menace aurait rapporté jusqu’à 1 milliard de dollars aux cybercriminels l’année dernière. Avec une forte augmentation au cours du premier semestre 2016, « Nous pensons que cette menace ne disparaîtra pas de sitôt« , déclare Juraj MALCHO, Chief Technology Officer chez ESET.

Au cours des 12 derniers mois, les cybercriminels ont reproduit des techniques identiques à celles utilisées pour la conception de malwares infectant des ordinateurs, afin de concevoir leurs propres logiciels malveillants sur Android : écran de verrouillage, crypto-ransomwares… Ainsi, ils ont réussi à développer des méthodes sophistiquées permettant de cibler uniquement les utilisateurs des différentes versions de cette plateforme.

En plus d’utiliser des techniques d’intimidation comme le « Police ransomware (2) », les cybercriminels chiffrent et cachent la charge utile malveillante sous l’application compromise, afin de rendre sa présence indétectable.

D’après les observations d’ESET, les ransomwares sous Android se concentraient sur l’Europe de l’EST puis sur les États-Unis en 2015, avant de migrer vers le continent asiatique en 2016. « Ces résultats montrent la vitesse de propagation de cette menace, active à l’échelle mondiale », ajoute Juraj MALCHO.

(1) http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/index.html

(2) Police ransomware : fraude en ligne utilisée pour extorquer de l’argent. Le logiciel malveillant affiche un message demandant le paiement d’une somme d’argent afin de récupérer l’accès à sa machine. Pour intimider l’utilisateur, le message prétexte un comportement illégal de la part de l’utilisateur et utilise des symboles de l’autorité nationale pour contraindre la victime à effectuer le paiement.

APT ViperRAT

Le niveau de sophistication croissant des logiciels de surveillance tels que ViperRAT est une menace pour les entreprises et les gouvernements.

Se basant sur les données recueillies grâce aux données collectées sur son réseau mondial de plus de 100 millions de capteurs qui correspondent à la quasi-totalité du code mobile dans le monde, l’équipe de recherche de Lookout Mobile Security, spécialiste de la cybersécurité mobile, a capturé une perspective approfondie et des éléments nouveaux sur le mobile APT ViperRAT. L’équipe de chercheurs a déterminé que ViperRAT est une menace très sophistiquée, qui a été utilisée comme on le sait pour cibler et espionner, entre autres la Force de Défense Israélienne, mais qui surtout, confirme l’évidence émergente que les risques de cyberattaques mobiles contre les entreprises et les gouvernements représentent aujourd’hui un véritable problème.

En scrutant le Cloud mobile de Lookout, les experts de la société ont identifié sur ViperRAT les nouveaux éléments suivants :

:: 11 nouvelles applications ont été identifiées qui n’ont encore jamais été rapportées.

:: L’équipe de recherche a pu identifier et analyser en temps réel des serveurs de commande et de contrôle (C2) malveillants et déterminer comment l’attaquant peut créer des nouvelles applis malveillantes infectées capables de s’installer secrètement et le type d’informations et d’activités qu’elles peuvent surveiller et espionner.

:: Identification des IMEI des personnes ciblées ainsi que les types de contenu exfiltrés.

:: Après analyse, il semblerait que les pirates qui utilisent ViperRAT peuvent exfiltrer une quantité importante d’informations sensibles des appareils mobiles qu’ils attaquent. L’exfiltration d’images et de contenus audio semble cependant être une priorité. Les attaquants peuvent aussi prendre le contrôle de l’appareil photo pour prendre des clichés. Il a été identifié 8929 dossiers avaient été exfiltré à partir des périphériques compromis et que 97 % de ceux-ci étaient des images chiffrées probablement prises avec l’appareil photo de l’appareil mobile infecté. Des fichiers générés automatiquement sur le C2 incitent à penser que des commandes ont aussi été émises pour rechercher et exfiltrer des documents PDF et Office. En cas de fuite d’information, ceci peut être problématique pour une entreprise ou un organisme gouvernemental.

:: Les échantillons ViperRAT sont capables de communiquer aux serveurs C2 via une API exposée ainsi que des websockets.

:: Finalement, le ViperRAT ne serait peut-être pas nécessairement un outil de surveillance du Hamas tel que certains rapports semblent l’indiquer. Selon un article de blog publié par Lookout ViperRAT est opérationnel depuis un certain temps, avec ce qui semble être une application de test qui est initialement apparue à la fin de l’année 2015. En effet, les experts commentent qu’il est à ce stade difficile d’identifier si les organisations qui ont émis ces rapports liant ViperRAT au Hamas avaient basé leurs conclusions sur les résultats de leurs propres études indépendantes ou sur le rapport Israélien d’origine qui avait été rapporté à l’époque dans la presse. Selon Lookout, le Hamas n’est pas connu pour ses capacités mobiles pointues, ce qui conduit à conclure qu’ils ne sont probablement pas directement responsables pour ViperRAT et qu’il pourrait donc s’agir d’un autre acteur non identifié à ce stade.

Le niveau de sophistication croissant de ce genre de logiciel de surveillance est inquiétan. Dans l’ensemble, le type d’informations dérobées peut permettre à un pirate de savoir où une personne se trouve, avec qui elles est en contact (y compris en accédant aux profils photos des contacts), les messages qu’ils envoient, les sites Web qu’ils visitent, l’historique de recherches, faire des captures d’écran qui révèlent les données des autres applications installées sur l’appareil, les conversations, et avoir accès aux images et photos contenues dans le téléphone.

L’analyse indique qu’il existe actuellement deux variantes distinctes de ViperRAT. La première variante est une application First Step qui effectue un profilage de base d’un appareil, et qui, sous certaines conditions tente de télécharger et d’installer un composant de programme de surveillance beaucoup plus complet, qui est la deuxième variante. « Les appareils mobiles sont aujourd’hui à la frontière du cyberespionnage, et autres motifs criminels potentiels. Les entreprises et les fonctionnaires et membres des gouvernements utilisent tous les jours des appareils mobiles pour leur travail ce qui signifie qu’aujourd’hui plus que jamais les responsables IT et de la sécurité de ces organisations doivent intégrer la mobilité dans leur stratégie de sécurité. » Explique Michael Flossman, Chercheur en Sécurité chez Lookout Mobile Security dans un article publié sur le blog de Lookout.