Utilisateurs d'Android, sachez que le Trojan bancaire Medusa est de retour ! De nouvelles campagnes d'attaques ont été repérées, notamment en France, au Canada et aux États-Unis. Faisons le point sur cette menace.

Le Trojan bancaire Medusa

En mai 2024, l'équipe Threat Intelligence de Cleafy a repéré de nouvelles campagnes malveillantes impliquant le Trojan bancaire Medusa, connu également sous le nom de TangleBot. Ce Cheval de Troie bancaire est de retour, après avoir été inactif pendant près d'un an. Il est accessible sous la forme d'un Malware-as-a-Service pour Android, donc les affiliés peuvent l'utiliser à des fins malveillantes en payant un abonnement.

Découvert en 2020, Medusa est capable de réaliser plusieurs opérations sur les appareils infectés, dont l'enregistrement de la saisie au clavier (keylogger), le contrôle de l'écran et la capacité de lire/écrire des SMS. Ce dernier point est important puisque dans le cadre de sa stratégie de distribution, le malware pourra accéder à la liste des contacts et envoyer des SMS.

Les chercheurs en sécurité expliquent que la nouvelle version de Medusa nécessite moins de permissions sur l'appareil Android infecté pour fonctionner. Désormais, le strict minimum pour les opérations de base est requis. De nouvelles fonctionnalités ont aussi été ajoutées, comme la possibilité de désinstaller des applications à distance et de prendre une copie d'écran. Cette fonction s'avère précieuse pour les pirates afin de voler des informations sensibles.

5 botnets actifs

Le rapport de Cleafy évoque un ensemble de 24 campagnes malveillantes menées par les pirates, depuis juillet 2023. En effet, ce rapport propose un historique de l'activité de Medusa sur les 12 derniers mois, ce qui sous-entend que sa phase d'inactivité est plus ancienne.

Ces campagnes malveillantes ont été associées 5 botnets actifs différents, que l'on peut distinguer par les types de leurres utilisés, la stratégie de distribution de la souche malveillante et les cibles géographiques.

Voici le nom des applications malveillantes utilisées par Medusa. Le choix du nom d'application "4K Sports" n'est surement pas un hasard puisque l'EURO 2024 de football se déroule actuellement.

"Nous avons identifié cinq botnets différents, exploités par plusieurs affiliés, qui présentent des caractéristiques distinctes en ce qui concerne le ciblage géographique et les leurres utilisés. Les résultats confirment des cibles nationales déjà connues, comme la Turquie et l'Espagne, mais aussi de nouvelles, comme la France et l'Italie.", peut-on lire dans le rapport.

Le Trojan bancaire Medusa est à suivre de près puisqu'il semble monter en puissance, tout en devenant plus furtif. Son nombre d'affiliés pourrait augmenter de façon importante, ce qui aurait également un impact sur la quantité de victimes.

Source

The post Le Trojan bancaire Medusa cible les utilisateurs d’Android dans 7 pays, dont la France first appeared on IT-Connect.

Ratel RAT, c'est le nom d'un malware open source utilisé par plusieurs groupes de cybercriminels pour s'attaquer en priorité aux périphériques Android obsolètes. Tel un ransomware, il chiffre les données de l'appareil et effectue une demande de rançon à l'utilisateur. Voici ce qu'il faut savoir.

Un nouveau rapport publié par les chercheurs en sécurité Antonis Terefos et Bohdan Melnykov de Check Point évoque l'utilisation de Ratel RAT dans au moins 120 campagnes d'attaques.

"Nous avons observé environ 120 campagnes malveillantes différentes, dont certaines ont réussi à cibler des organisations de premier plan, notamment dans le secteur militaire. Si la plupart des victimes ciblées étaient originaires des États-Unis, de Chine et d'Indonésie, la géographie des attaques est assez vaste.", peut-on lire dans ce rapport. La carte intégrée au rapport montre qu'il y a également eu une ou plusieurs campagnes menées en France.

Les attaques de Ratel RAT

Pour infecter les appareils, les cybercriminels tentent de convaincre les utilisateurs de télécharger un fichier APK malicieux. Ainsi, si un utilisateur passe à l'action et qu'il pense installer une application sur son smartphone, il récupérera un méchant malware nommé Ratel RAT en plus de l'application souhaitée. Ce malware se cache au sein de paquets APK permettant d'installer des applications populaires comme WhatsApp et Instagram.

Afin de pouvoir contrôler l'appareil dans son ensemble, l'application demandera de nombreuses permissions sur l'appareil. Par exemple, nous pouvons citer l'autorisation de ne pas être concerné par le processus d'optimisation de la batterie, pour être autorisé à fonctionner en arrière-plan.

Le malware prend en charge une quinzaine de commandes que les pirates peuvent exécuter à distance. Voici quelques exemples :

• La commande "ransomware" pour chiffrer les données de l'appareil.
• La commande "wipe" pour supprimer tous les fichiers présents à un emplacement spécifique.
• La commande "sms_oku" pour transmettre tous les SMS au serveur C2 des pirates (redoutable pour voler les codes 2FA !)
• La commande "LockTheScreen" pour verrouiller l'écran de l'appareil.
• La commande "location_tracker" pour géolocaliser l'appareil et transmettre l'information en temps réel au serveur C2.

D'après Check Point, dans 10.3% des cas, la commande "ransomware" a été utilisée par les cybercriminels. Une fois les données chiffrées, une note de rançon est déposée sur l'appareil. "La note de rançon sous forme de message SMS est rédigée en arabe et fournit un canal Telegram pour poursuivre le dialogue.", peut-on lire.

Qui est vulnérable ? Quels sont les modèles pris pour cible ?

Ce logiciel malveillant est particulièrement présent sur les appareils Android dont le système n'est plus maintenu. Ceci expose ces appareils à l'exploitation de failles de sécurité connues, mais non corrigées par la marque. Ces anciennes versions sont aussi dépourvues de certains mécanismes de sécurité introduit dans Android au fil des versions.

D'après les statistiques fournies par Check Point, Android 11 est la version la plus touchée, suivi par les versions 8 et 5 d'Android. En fait, Android 11 et les versions antérieures représentent plus de 87,5 % du total d'appareils infectés. Ceci signifie qu'il y a tout de même des victimes dont l'appareil tourne sur Android 12 ou 13.

"Plus de 87 % des victimes concernées utilisent des versions d'Android qui ne sont plus prises en charge et qui, par conséquent, ne reçoivent pas de correctifs de sécurité.", précise le rapport. Une nouvelle fois, ces attaques mettent en lumière le problème de suivi des mises à jour Android ainsi que le fort fractionnement dans les versions d'Android utilisées sur les appareils. Chaque constructeur a sa politique de suivi des smartphones, sur un nombre d'années plus ou moins important.

Néanmoins, ces attaques ne ciblent pas une marque particulière, puisqu'il y a aussi des appareils Google Pixel, que Samsung Galaxy A et S, ou encore des appareils Xiaomi.

En résumé, en restant vigilant, et en ne téléchargeant pas d'applications en dehors des magasins d'applications officiels, vous pouvez éviter ce genre de menace. Ratel RAT, en plus d'offrir un accès à distance à votre appareil, représente un gros risque pour vos données et vos informations personnelles.

Source

The post Le malware Ratel RAT chiffre les données des appareils Android obsolètes ! first appeared on IT-Connect.

Microsoft a ajouté une nouvelle fonctionnalité importante à son application Outlook Lite pour les smartphones Android : la prise en charge des SMS, directement dans l'application. Faisons le point sur cette annonce.

Sur Android, il y a deux applications Outlook : il y a l'application principale nommée "Microsoft Outlook", ainsi qu'une application secondaire, beaucoup plus légère, car elle ne pèse que 5 Mo, nommée "Microsoft Outlook Lite". Elle est avant tout destinée aux smartphones avec peu de ressources. Elle a été lancée en août 2022.

Par l'intermédiaire d'un nouvel article, Microsoft a fait l'annonce d'une nouveauté pour les utilisateurs d'Outlook Lite sur Android : "Avec SMS sur Outlook Lite, vous pouvez profiter de la commodité et de la sécurité de l'envoi et de la réception de messages SMS à partir de votre application Outlook Lite. Les SMS sont intégrés à votre courrier électronique, votre calendrier et vos contacts, ce qui vous permet de rester en contact avec vos interlocuteurs dans une seule application."

Autrement dit, avec Outlook Lite, vous pouvez envoyer et recevoir des e-mails et des SMS sur Android, grâce à cette expérience unifiée. Microsoft travaille depuis avril 2023 sur le développement de cette fonctionnalité, qui est désormais accessible à tous les utilisateurs : "Aujourd'hui, nous sommes ravis de proposer les SMS sur Outlook Lite aux utilisateurs du monde entier.", peut-on lire.

Cette nouveauté prend place dans l'application grâce à un bouton tout simplement nommé "SMS", comme le montre l'image ci-dessous. Elle est disponible dans la dernière version d'Outlook Lite disponible sur Google Play Store.

Enfin, l'entreprise américaine a évoqué quelques nouveautés à venir et en cours de développement pour Outlook Lite. Voici ce que l'on peut lire :

• Intégration plus étroite avec le courrier électronique, le calendrier et les contacts
• Sauvegarde des messages dans le Cloud
• Amélioration des fonctionnalités liées à la sécurité

Qu'en pensez-vous ? Utilisez-vous la version Lite d'Outlook ?

Source : Microsoft

The post Microsoft ajoute la prise en charge des SMS à l’application Outlook Lite pour Android first appeared on IT-Connect.

Bitwarden Authenticator, c'est le nom de la nouvelle application mobile lancée par Bitwarden ! Son objectif : générer des codes TOTP utilisables dans le cadre de l'authentification multifacteurs (MFA).

Bitwarden, éditeur du célèbre gestionnaire de mots de passe du même nom, a lancé une nouvelle application pour Android et iOS. Cette application sert à générer des mots de passe à usage unique basé sur le temps, c'est-à-dire des codes TOTP (Time-based one-time password), pour les comptes enregistrés dans l'application. Il peut s'agir d'un compte de n'importe quel service ou site web à condition que celui-ci propose l'authentification multifacteurs basée sur cette méthode très répandue.

Dans le gestionnaire de mots de passe Bitwarden, il y a déjà une fonctionnalité pour générer des codes TOTP, mais elle est réservée aux utilisateurs payants. D'ailleurs, cette fonctionnalité sera maintenue : "L'Authenticator intégré restera disponible avec les abonnements payants.", peut-on lire sur le site de Bitwarden.

A contrario, l'application Bitwarden Authenticator est gratuite pour tous les utilisateurs, y compris ceux qui n'utilisent pas Bitwarden. Elle vient s'ajouter à la longue liste des applications de gestion de comptes telles que Microsoft Authenticator, Google Authenticator, FreeOTP ou encore Authy.

Pour ajouter un compte à l'application Bitwarden Authenticator, l'utilisateur n'a qu'une chose à faire : scanner le QR code généré par le service ou le site web.

La feuille de route de Bitwarden Authenticator

Pour le moment, l'application, bien que stable, n'en est qu'à la phase 1 de son lancement. Cela signifie que cette première version est limitée en termes de fonctionnalités, et notamment vis-à-vis des applications concurrentes.

Comme le montre l'image ci-dessous, correspondante à la feuille de route de Bitwarden Authenticator, d'autres fonctionnalités seront ajoutées par la suite. Il y aura notamment la possibilité de synchroniser ses comptes Bitwarden Authenticator sur les serveurs de Bitwarden, et les retrouver dans son coffre-fort de mots de passe. Il est également prévu l'ajout d'un mode de restauration et la prise en charge du 2FA par notifications ("Push-based 2FA").

Bitwarden Authenticator : une application open source

Sachez que ces applications sont open source, donc leur code source sont disponibles sur GitHub (Android - iOS). Enfin, voici les liens pour télécharger cette application :

• Bitwarden Authenticator - Google Play Store
• Bitwarden Authenticator - Apple App Store

Qu'en pensez-vous ?

Source

The post Bitwarden Authenticator, une nouvelle application MFA open source pour Android et iOS first appeared on IT-Connect.