Les principaux groupes de menaces se concentrent sur les mobiles, et améliorent leur arsenal mobile avec des capacités qui n’ont encore jamais été vues auparavant. La menace qui pèse sur les terminaux mobiles est plus importante que jamais.
Dans le nouveau paradigme des modes de travail à distance et en mobilité, les appareils mobiles accèdent aux systèmes informatiques de l’entreprise et aux services souscrits par elle dans le cloud et constituent de ce fait le nouveau périmètre à défendre pour les entreprises. Selon IDC, d’ici 2024 les travailleurs mobiles représenteront près de 60 % de la main-d’œuvre américaine totale. Bien que cette situation n’ait pas fondamentalement changé le paysage de la cybersécurité, les spécialistes notent que l’utilisation extensive des appareils mobiles pendant le confinement et la distanciation a offert aux cybermalfaiteurs un périmètre d’attaque élargi.
Dans son dernier rapport consacré à la sécurité mobile et intitulé Check Point Mobile Security Report 2021, les chercheurs ont observé la complexité croissante des fonctions et de l’infrastructure des logiciels malveillants utilisés par les acteurs de la menace, ainsi que les contre-mesures qu’ils utilisent pour éviter la détection. Le rapport révèle que 97 % des organisations ont été confrontées à des menaces mobiles et 46 % ont vu au moins un employé télécharger une application mobile malveillante, qui a menacé les réseaux et les données. Outre les constats attendus comme l’intensification et la sophistication des attaques ou l’exploitation des thèmes liés à la pandémie, les chercheurs de Check Point ont observé de nouvelles tendances.
Les appareils mobiles sont intrinsèquement vulnérables
« Les appareils mobiles sont intrinsèquement vulnérables », affirme le rapport. Comme l’a révélé Achilles, une étude de Check Point dans laquelle l’éditeur constate que plus de 400 morceaux de code vulnérables ont été trouvés dans un DSP de Qualcomm. Lorsque la vulnérabilité est d’origine matérielle, les dommages peuvent être conséquents pour les utilisateurs : les attaquants peuvent divulguer des informations, notamment des photos, des vidéos, des enregistrements d’appels et des enregistrements sonores en temps réel, des données GPS et de localisation, et bien d’autres encore, sans que l’utilisateur intervienne. Les logiciels malveillants et autres codes malveillants peuvent masquer complètement leurs activités et les rendre inamovibles.
« L’importance de cette découverte ne peut être sous-estimée, estime le rapport, puisque Qualcomm fournit des puces pour plus de 40 % du marché des mobiles ». Autre constat alarmant : les rançongiciels sont devenus mobiles, comme dans le cas de Lucy, un botnet de logiciels malveillants en tant que service (MaaS) et un dropper pour les appareils Android.
Les « droppers » et les hôtes tiers prolifèrent
Une autre prédiction pour 2021 est l’abandon des logiciels malveillants « directs » au profit de l’utilisation de « droppers », qui sont utilisés par les attaquants pour contrôler la charge utile le cas échéant, ou pour contourner la détection.
Les chercheurs de Check Point ont également observé que de plus en plus de logiciels malveillants n’insèrent plus de code malveillant dans les applications. Ils choisissent plutôt d’assumer la charge utile à partir d’un hôte tiers. Par exemple, Joker vise une approche hybride avec une variante qui intègre la charge utile sous forme de chaînes de classe codées, qui sont décodées et chargées à la réception d’une commande du serveur de commande et de contrôle.
Enfin, les chercheurs de Check Point révèlent que le MDM (Mobile Device Management) ou la gestion des dispositifs mobiles est un nouveau vecteur d’attaque, « comme on l’a vu, par exemple, avec une nouvelle variante du maliciel Cerberus qui a infecté plus de 75 % des dispositifs d’une entreprise via le MDM appartenant à celle-ci ».
« Les logiciels malveillants continueront à évoluer et à s’adapter aux nouvelles techniques et méthodes employées par les fournisseurs de sécurité pour protéger les utilisateurs et leurs appareils contre les acteurs malveillants qui tentent d’y accéder », affirment les rédacteurs du rapport.