Découverte du premier malware bancaire Android Snowblind, comment se protéger?
Une nouvelle menace de sécurité Android a été découverte par Promon, spécialiste de la sécurité des applications mobiles. Surnommé Snowblind, ce malware utilise une technique novatrice pour exploiter les fonctionnalités du système d’exploitation Android et compromettre les applications bancaires. Selon la société, ce malware est efficace sur tous les appareils Android, y compris les meilleurs équipés des mesures de sécurité les plus strictes. Des améliorations de la sécurité au niveau de l’application sont nécessaires pour contrer les pertes financières potentielles.
Snowblind : un nouveau malware bancaire Android
Snowblind semble être l’un des malwares bancaires Android les plus avancés avec des techniques de détection innovantes. Selon Promon, ce malware manipule une fonctionnalité de sécurité du noyau Linux intégrée à Android appelée “seccomp” (secure computing). Cette fonctionnalité “contrôle ce qu’une application est autorisée à faire en limitant les appels système, ou demandes, qu’une application peut effectuer depuis le système d’exploitation.”
Comme la plupart des malwares, Snowblind repose sur l’exploitation des services d’accessibilité pour obtenir un accès de niveau système à un appareil infecté et réaliser des activités malveillantes à l’insu de l’utilisateur. Cependant, Android disposant de mesures de sécurité pour détecter les services d’accessibilité malveillants, il modifie des applications pour éviter la détection. Il “effectue une attaque de reconditionnement normale” avec une technique moins connue basée sur seccomp.
Promon affirme que la technique de Snowblind abuse de la fonctionnalité seccomp “pour intercepter et manipuler les appels système,” ce qui lui permet de contourner les vérifications de sécurité et les mécanismes anti-altération. Cela permet aux attaquants d’exécuter furtivement des activités malveillantes sur l’appareil. Ils peuvent également utiliser d’autres fonctions du malware pour voler des identifiants de connexion pour une application bancaire et réaliser des transactions non autorisées.
Pour faciliter leur travail, Snowblind peut désactiver des fonctionnalités de sécurité telles que l’authentification à deux facteurs (2FA) et la vérification biométrique. Il peut également extraire des informations personnelles sensibles et des données de transaction de l’application. Ces données peuvent être exploitées ultérieurement pour des activités frauduleuses, y compris l’usurpation d’identité. Étant donné que Snowblind cible l’application elle-même, il est efficace sur tous les appareils Android modernes.
La technique de Snowblind étant nouvelle, la plupart des applications sont vulnérables
La société de sécurité a découvert que le malware Android Snowblind est actuellement conçu pour cibler spécifiquement les applications bancaires Android en Asie du Sud-Est. Cependant, la société a jugé sa technique basée sur seccomp “plus intéressante que le malware lui-même”, au point que des acteurs malveillants pourraient bientôt concevoir d’autres types d’exploits et d’attaques. Pour aggraver les choses, il s’agit d’une nouvelle technique et la plupart des applications modernes ne bénéficient pas de protections contre elle.
Promon affirme avoir développé des mesures de protection contre Snowblind et d’autres variantes potentielles d’attaques et de souches de malwares basées sur seccomp. La version 6.5.2 ou plus récente de sa plateforme Promon SHIELD propose ces protections. Les développeurs peuvent utiliser cette solution pour sécuriser leurs applications. Pour les utilisateurs finaux, ces types de malwares bancaires puissants nous rappellent que nous ne devrions pas installer des applications provenant de sources inconnues. Ne téléchargez jamais des fichiers depuis des sites douteux ou via des liens transmis. Rendez-vous toujours sur le site officiel d’un développeur ou sur une boutique d’applications officielle pour télécharger des applications.
Source : www.androidheadlines.com
