Plusieurs éditeurs de sécurité ont profit du MWC 2019 pour publier leurs rapports sur les menaces mobiles du moment. De quoi dessiner un paysage des risques et des attaques visant nos smartphones…

Outre la perte et le vol du mobile, le principal danger sur les plateformes mobiles reste le téléchargement d’applications factices qui se font passer pour ce qu’elles ne sont pas. Une fois installées, elles affichent des publicités, espionnent vos activités ou consomment la puissance pour « miner » des cryptomonnaies. Les jeux en vogue sont les premières cibles des cybercriminels. Lorsque la Beta de Fortnite a été annoncée sur Android en août 2018, McAfee a constaté une multiplication par 4 des détections de malwares mobiles. Une situation aggravée par la décision de l’éditeur de distribuer son jeu hors du Google Play, obligeant les utilisateurs à changer les paramétrages du système pour autoriser l’installation depuis d’autres Store que celui de Google. Or très peu d’entre eux ont remis la protection après téléchargement, laissant les smartphones Android beaucoup plus vulnérables aux attaques. Un sujet qui doit attirer l’attention des responsables IT qui autorisent le BYOD (Bring Your Own Device) et une utilisation relativement libre du Play Store et des paramètres système. Les appareils dont le réglage de téléchargement « hors Google Play » est activé (même temporairement) devraient se voir refuser l’accès aux ressources de l’entreprise. Une politique de sécurité que la plupart des solutions EMM du marché permettent de prendre en compte. Selon Google, les malwares mobiles affectent moins de 1% des utilisateurs ayant interdit le téléchargement hors « Play Store ».

Une des tendances fortes de l’année 2018 en matière de menaces est l’utilisation de messages SMS pour encourager les utilisateurs à télécharger des applications sans passer par le Google Play Store. En procédant ainsi, les auteurs s’affranchissent des protections implantées par Google pour sa boutique applicative, mais évitent également de voir l’application automatiquement supprimée du smartphone lorsque Google découvre qu’une app diffusée par son « Play store » a des comportements malveillants.

Autre tendance qui n’affecte d’ailleurs pas que les mobiles et mise en évidence dans le dernier rapport Symantec ISTR, le FormJacking (piratage de formulaires) consiste à injecter du code malveillant dans les pages Web des systèmes de paiement intégrés aux sites de e-commerce de sorte à dérober les informations bancaires saisies. C’est un peu la version virtuelle du piratage des distributeurs de billets. Symantec a bloqué plus de 3,7 millions d’attaques de ce type en 2018. Le FormJacking impacte tous les utilisateurs qu’ils soient sur PC/Mac ou sur mobiles (Android comme iOS).

Enfin, les attaques menées par des états ou par des organismes assimilés s’expriment également sur mobile. Selon McAfee, en 2018, une opération a spécifiquement visé les réfugiés Nord-Coréens vivant en Corée du Sud afin d’installer sur leurs smartphones un spyware exfiltrant photos, contacts et messages SMS.

D’une manière générale, iOS connait significativement moins d’attaques qu’Android. Néanmoins, il ne faut pas oublier que des attaques comme le phishing ciblé, le formjacking, les attaques « man in the middle en Wifi » et le chantage par email sont indépendants des plateformes et touchent donc tout aussi fréquemment les utilisateurs iPhone et iPad. En outre, le dernier rapport Pradeo sur la sécurité d’iOS rappelle que le système d’Apple n’est pas imperméable aux failles Zero-day et que « de nouvelles formes de malwares iOS affectant les iPhones même non ‘jaibreakés’ sont découverts régulièrement » à l’instar des applications Fitness Balance et Calories Tracker qui trompaient les utilisateurs en leur faisant approuver des paiements par TouchID à leur insu. L’attaque AceDeceiver qui exploitait un bug dans le mécanisme FairPlay d’Apple pour voler les mots de passe a été trouvée dans au moins trois apps officielles. Enfin, il ne faut jamais perdre de vue que certains pirates ont développé des attaques physiques qui permettent de jailbreaker un iPhone pour anéantir ses défenses intégrées : il suffit qu’ils aient l’appareil entre leurs mains et un câble USB.

Sources :
McAfee – Mobile Threat Report 2019 
Pradeo – iOS Mobile Threats Report 
Symantec – Internet Threat Report SIRT 2019