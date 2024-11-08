Une nouvelle souche de logiciel malveillant Android, connue sous le nom de SpyAgent, circule et vole des captures d’écran au passage. En utilisant la technologie de reconnaissance optique de caractères (OCR), le logiciel malveillant recherche des phrases de récupération de crypto-monnaies souvent stockées dans des captures d’écran sur les appareils des utilisateurs.
Voici comment éviter le danger.
Les attaques commencent, comme toujours, par des tentatives de phishing. Les utilisateurs reçoivent des messages texte les invitant à télécharger des applications apparemment légitimes. S’ils mordent à l’hameçon et installent l’application, le logiciel malveillant SpyAgent entre en action.
Sa cible ? Captures d’écran des phrases de récupération de 12 à 24 mots utilisées pour les portefeuilles de crypto-monnaies. Comme ces phrases sont trop longues pour être retenues facilement, les utilisateurs font souvent des captures d’écran pour s’y référer ultérieurement. Si les attaquants compromettent ces captures d’écran, ils peuvent récupérer les portefeuilles de crypto-monnaie sur l’appareil de leur choix, ce qui leur permet de voler toute la monnaie numérique qu’ils contiennent. Et une fois que les fonds ont disparu, c’est pour de bon : la nature des protocoles de crypto-monnaies signifie que lorsque les transactions sont terminées, elles ne peuvent pas être annulées. Si de l’argent est envoyé à la mauvaise adresse, les émetteurs doivent demander aux destinataires de créer et de réaliser une transaction de retour.
Si les utilisateurs font une capture d’écran de leur phrase de récupération et qu’elle est volée par SpyAgent, les attaquants n’ont plus qu’à récupérer le portefeuille et à transférer les fonds vers la destination de leur choix.
Le logiciel malveillant circule en Corée du Sud, avec plus de 280 APK touchés, selon Coin Telegraph. Ces applications sont distribuées en dehors de la boutique officielle Google Play, souvent à l’aide de messages SMS ou de publications sur les médias sociaux pour susciter l’intérêt des utilisateurs. Certaines applications infectées imitent les services du gouvernement sud-coréen ou britannique, tandis que d’autres semblent être des applications de rencontres ou de contenu pour adultes.
Certains éléments indiquent également que les attaquants s’apprêtent à s’étendre au Royaume-Uni, ce qui pourrait, à son tour, entraîner une compromission plus généralisée. Bien que le logiciel malveillant cible actuellement uniquement Android, certains signes indiquent qu’une version iOS est en cours de développement.
Bien que les phrases de récupération de crypto-monnaies soient la priorité absolue de SpyAgent, l’utilisation de la technologie OCR signifie que n’importe quelle photo est vulnérable. Par exemple, si les appareils professionnels contiennent des captures d’écran de noms d’utilisateur et de mots de passe pour des bases de données ou des outils d’analyse, les actifs de l’entreprise pourraient être menacés. Prenons l’exemple d’un responsable ayant accès à plusieurs services sécurisés, chacun nécessitant un mot de passe unique pour réduire les risques de compromission. Afin de préserver la sécurité des mots de passe tout en les rendant disponibles à la demande, notre gestionnaire bien intentionné dresse une liste et fait une capture d’écran de ses différentes combinaisons d’identifiants. Parce qu’ils pensent que leur appareil est sécurisé, les employés d’une entreprise utilisent des solutions telles que l’authentification multifacteur (MFA) et l’authentification unique sécurisée (SSO), et ils ne considèrent pas leur capture d’écran comme un risque.
Toutefois, si les pirates les convainquent de cliquer sur des applications infectées et de les télécharger, ils peuvent ensuite les consulter et voler les données des images enregistrées, puis utiliser ces données pour obtenir un accès « légitime » à leur compte.
Les données personnelles constituent un autre risque potentiel. Les utilisateurs peuvent avoir des captures d’écran de données de santé ou financières, ce qui les expose au risque d’exfiltration de données et d’usurpation d’identité. Ils peuvent également contenir des coordonnées confidentielles de partenaires commerciaux ou de cadres, ce qui ouvre la porte à une nouvelle série d’attaques par hameçonnage.
Cette approche de la compromission basée sur l’image crée deux problèmes pour les équipes de sécurité. Le premier est le temps nécessaire à la détection. Il faut en moyenne 258 jours aux entreprises pour détecter et contenir un incident, comme l’indique le Rapport IBM 2024 sur le coût d’une violation de données. Mais ce chiffre ne s’applique que si la sécurité fonctionne à plein régime. Si les appareils mobiles sont compromis par les actions des utilisateurs, et que le seul but du logiciel malveillant est de trouver et de voler des captures d’écran, le problème pourrait passer inaperçu bien plus longtemps, surtout si les attaquants attendent leur heure.
Une fois que les criminels passent à l’attaque, les dommages peuvent être importants. Grâce à des identifiants volés, les pirates peuvent accéder à des services critiques et verrouiller les propriétaires de comptes. Ensuite, ils peuvent capturer et exfiltrer des données sur une multitude de systèmes et de services informatiques. Cette action directe alertera les équipes informatiques, mais la réponse en matière de sécurité est naturellement réactive, ce qui signifie que les entreprises ne peuvent pas éviter l’attaque ; elles peuvent seulement en atténuer les dommages.
Le message est simple : si c’est sur votre téléphone, ce n’est jamais totalement sûr. Les captures d’écran de mots de passe de récupération de cryptomonnaie, des identifiants et de mots de passe professionnels ou de données personnelles telles que les numéros de sécurité sociale ou les coordonnées bancaires sont des cibles de choix pour les attaquants.
Éviter le pire signifie aussi ne pas mordre à l’hameçon : ne répondez pas aux SMS non sollicités et ne téléchargez les applications que via des boutiques d’applications approuvées. Cela implique également de prendre des précautions. La nature toujours connectée des appareils fait que la sécurité totale n’est qu’une illusion. Moins il y en a de stocké sur un appareil, mieux c’est.
Les utilisateurs peuvent préserver la sécurité de leurs appareils en se limitant à la boutique officielle Google Play. Les applications téléchargées en dehors de Google Play ne sont assorties d’aucune garantie quant à leur sécurité. Certaines sont des applications bénignes qui n’ont pas passé le processus de sélection de Google. D’autres sont des copies quasi conformes d’applications officielles qui contiennent des fichiers ou des commandes cachés. D’autres sont simplement des véhicules permettant d’installer des logiciels malveillants et de se connecter à des serveurs de commande et de contrôle (C2).
De plus, les entreprises peuvent bénéficier du déploiement de l’automatisation de la sécurité et d’outils de sécurité basés sur l’IA. Ces solutions sont capables de capturer et de corréler des schémas de comportement qui peuvent paraître bénins mais qui sont des indicateurs collectifs de compromission (IoC). Comme le soulignent les données d’IBM, les entreprises qui utilisaient massivement l’IA et l’automatisation ont pu détecter et contenir les violations 98 jours plus rapidement que la moyenne mondiale.
Le logiciel malveillant SpyAgent se propage maintenant en Corée du Sud, vole des captures d’écran pour récupérer des mots de passe de récupération de cryptomonnaie et expose les entreprises à un risque de compromission de données à grande échelle.
La meilleure défense ? Un trio composé de la limitation des captures d’écran, de la méfiance à l’égard des applications hors marque et du déploiement de solutions de sécurité plus avancées.