Le fournisseur de sécurité des applications mobiles Promon a découvert un malware bancaire Android inédit. Baptisé Snowblind, il utilise une nouvelle technique pour exploiter les fonctionnalités du système d'exploitation Android et compromettre les applications bancaires. La société affirme que le malware est efficace sur tous les appareils Android, y compris les meilleurs dotés des mesures de sécurité les plus strictes. Cela nécessite des améliorations de sécurité au niveau des applications pour annuler les pertes financières potentielles.
Snowblind est un malware bancaire Android unique en son genre
Snowblind semble être l’un des logiciels malveillants bancaires Android les plus avancés, doté de nouvelles techniques d’anti-détection. Selon Promon, le malware manipule une fonctionnalité de sécurité du noyau Linux intégrée au système d'exploitation Android appelée « seccomp » (informatique sécurisée). La fonctionnalité « contrôle ce qu’une application est autorisée à faire en limitant les appels système ou les demandes qu’une application peut effectuer à partir du système d’exploitation ».
Comme la plupart des autres logiciels malveillants, Snowblind s'appuie sur l'exploitation des services d'accessibilité pour accéder au niveau du système à un appareil infecté et effectuer des activités malveillantes à l'insu de l'utilisateur. Cependant, comme Android a mis en place des mesures de sécurité pour détecter les services d'accessibilité malveillants, il modifie les applications pour empêcher la détection. Il « effectue une attaque de reconditionnement normale » avec une technique moins connue basée sur seccomp.
Promon affirme que la technique de Snowblind abuse de la fonctionnalité seccomp « pour intercepter et manipuler les appels système », ce qui lui permet de contourner les contrôles de sécurité et les mécanismes anti-falsification. Cela permet aux attaquants d’exécuter furtivement des activités malveillantes sur l’appareil. Ils peuvent utiliser d’autres fonctions du malware pour voler les identifiants de connexion d’une application bancaire et effectuer des transactions non autorisées.
Pour faciliter leur travail, Snowblind peut désactiver des fonctionnalités de sécurité telles que l'authentification à deux facteurs (2FA) et la vérification biométrique. Il peut également exfiltrer des informations personnelles sensibles et des données de transaction de l'application. Ces données peuvent être exploitées ultérieurement pour des activités frauduleuses, notamment l'usurpation d'identité. Puisque Snowblind attaque l’application elle-même, elle est efficace sur tous les appareils Android modernes.
La technique de Snowblind est nouvelle, donc la plupart des applications sont vulnérables
La société de sécurité a découvert que le malware Android Snowblind est actuellement conçu pour cibler spécifiquement les applications bancaires Android en Asie du Sud-Est. Cependant, l'entreprise a trouvé sa technique basée sur seccomp « plus intéressante que le malware lui-même », à tel point que les acteurs malveillants pourraient bientôt concevoir davantage de types d'exploits et d'attaques. Pour aggraver les choses, il s'agit d'une nouvelle technique et la plupart des applications modernes ne sont pas protégées contre elle.
Promon affirme avoir développé des mesures de protection contre Snowblind et d'autres variantes potentielles d'attaques basées sur seccomp et de souches de logiciels malveillants. La version 6.5.2 ou plus récente de sa plateforme Promon SHIELD offre ces protections. Les développeurs peuvent utiliser la solution pour assurer la sécurité de leurs applications. Pour les utilisateurs finaux, ces types de puissants logiciels malveillants bancaires rappellent que nous ne devons pas installer d’applications provenant de sources inconnues. Ne téléchargez jamais de fichiers à partir de sites Web louches ou via des liens redirigés. Visitez toujours le site officiel d'un développeur ou une boutique d'applications officielle pour télécharger des applications.
