Définition
Un logiciel malveillant ou malware sur mobile est spécifiquement conçu pour cibler des terminaux mobiles, comme des smartphones et des tablettes, dans le but d’obtenir l’accès à des données privées.
Bien qu’ils ne soient pas encore aussi répandus que les malwares ciblant les postes de travail classiques, les logiciels malveillants sur mobile représentent une menace grandissante dans la mesure où les entreprises permettent aujourd’hui à leurs collaborateurs d’accéder au réseau depuis leurs terminaux personnels, ce qui peut exposer l’environnement d’entreprise à des menaces inconnues.
Même si les appareils Android ont connu de nombreux problèmes de sécurité ces dernières années, les appareils Apple ne sont pas moins vulnérables aux logiciels malveillants.
Types de logiciels malveillants sur mobile
Les cybercriminels ont recours à toute une série de tactiques pour infecter les terminaux mobiles. Pour améliorer votre protection antimalware sur mobile, il est essentiel de comprendre comment fonctionnent les différents types de logiciels malveillants qui menacent les terminaux mobiles. Voici les types les plus courants :
- Les outils d’accès à distance offrent un accès étendu aux données des terminaux infectés et sont souvent utilisés pour collecter des informations. Ces outils visent généralement à obtenir des informations sur les applications installées, les journaux d’appels, les carnets d’adresses, l’historique de navigation ou encore les données de messagerie. Ils peuvent également être utilisés pour envoyer des SMS, activer la caméra des terminaux ou encore enregistrer des données GPS.
- Les chevaux de Troie bancaires prennent souvent l’apparence d’applications légitimes et cherchent à compromettre les utilisateurs qui effectuent des transactions bancaires, notamment des virements et des paiements, à partir de leurs terminaux mobiles. Ce type de cheval de Troie a pour objectif de voler les informations de connexion aux services bancaires et les mots de passe associés.
- Les ransomwares sont un type de logiciel malveillant utilisé pour empêcher un utilisateur d’accéder à son terminal et exiger le versement d’une « rançon », généralement sous la forme d’un paiement intraçable en bitcoins. Une fois la rançon payée par la victime, des codes d’accès lui sont envoyés afin de lui permettre de déverrouiller son terminal mobile.
- Les logiciels malveillants de minage de cryptomonnaie permettent aux cyberattaquants d’utiliser les terminaux des utilisateurs à leur insu pour exécuter des calculs et générer ainsi des cryptomonnaies. Le minage de cryptomonnaie est souvent réalisé par le biais de code dissimulé dans des applications en apparence légitimes.
- La fraude au clic publicitaire est une pratique qui s’appuie sur un logiciel malveillant pour permettre à un cyberattaquant de prendre le contrôle d’un terminal afin de générer des revenus par le biais de faux clics publicitaires.
Modes de distribution des logiciels malveillants sur mobile
Les terminaux personnels utilisés par les collaborateurs dans le cadre de leur travail constituent autant d’endpoints non protégés au sein de l’environnement d’entreprise. Bien que cette pratique ait l’avantage de réduire les coûts et d’améliorer l’efficacité, l’utilisation de terminaux personnels crée également des problèmes de sécurité pour le réseau de l’entreprise et les données qui y sont stockées. La compromission d’un seul terminal personnel peut être à l’origine d’une infection généralisée et entraîner une perte de données à grande échelle aux conséquences catastrophiques.
Pour distribuer leur code malveillant, les cyberattaquants ont souvent recours aux mêmes méthodes :
1. Phishing et usurpation d’identité sur mobile
Le phishing consiste à tromper une victime pour qu’elle dévoile des informations personnelles ou concernant ses comptes, souvent par un procédé d’usurpation d’identité. L’usurpation d’identité consiste à donner à des communications électroniques ou à des sites web l’apparence d’une entité en laquelle la victime a confiance. Bien que ces deux pratiques aillent souvent de pair, l’usurpation d’identité peut être utilisée à des fins malveillantes autres que le vol d’informations de compte par phishing. Par exemple, un faux e-mail provenant d’un compte usurpé peut chercher à inciter le destinataire à cliquer sur un lien malveillant.
Même si le phishing a traditionnellement été utilisé pour récupérer des identifiants de connexion par l’envoi d’e-mails, le phishing par SMS ou via les applications de messagerie est devenu beaucoup plus répandu. En fait, 57 % des entreprises indiquent avoir déjà été ciblées par une attaque de phishing sur mobile. Cela n’a rien d’étonnant si l’on considère que les utilisateurs sont 18 fois plus susceptibles de cliquer sur un lien suspect à partir d’un terminal mobile que depuis un ordinateur portable.
Une méthode couramment utilisée pour inciter les victimes à installer des logiciels malveillants consiste à leur envoyer un faux SMS contenant un lien vers un fichier APK (Android Package) hébergé sur un site web contrôlé par le cyberattaquant. La victime peut par exemple être invitée à cliquer sur un lien reçu par SMS qui la renvoie vers un site bancaire frauduleux ayant l’apparence d’un site de confiance et se laisser convaincre de mettre à jour son application bancaire. Cette prétendue mise à jour procède en réalité à l’installation d’un code malveillant, permettant alors au cyberattaquant d’accéder aux identifiants de connexion.
2. Terminaux débridés
Débrider un terminal consiste simplement à contourner ses dispositifs de protection internes pour jouir d’un contrôle illimité sur son système d’exploitation. Les utilisateurs débrident généralement leurs téléphones afin de télécharger des applications tierces non approuvées par leur système d’exploitation ou pour appliquer des éléments de personnalisation qui ne sont pas autorisés par les mécanismes de protection par défaut.
Bien que cette pratique soit synonyme de liberté et ouvre la porte à de nombreuses possibilités de personnalisation, le débridage expose les terminaux à des risques accrus d’attaques malveillantes. Dans le cas des entreprises où les collaborateurs sont encouragés à utiliser leurs appareils personnels, un terminal débridé pourrait augmenter considérablement et involontairement le risque de compromission du réseau de l’entreprise.
Un seul terminal débridé, ne disposant pas des protections par défaut de base, suffit pour ouvrir une brèche permettant aux cyberattaquants de récupérer des identifiants de connexion, d’intercepter des informations d’entreprise sensibles ou même d’introduire un logiciel malveillant sur le réseau.
Une visibilité sur les modes de distribution est essentielle
Votre aptitude à protéger votre réseau des logiciels malveillants sur mobile dépend grandement de la visibilité que vous avez sur les modes de distribution décrits ci-dessus. En détectant les terminaux débridés et en identifiant les terminaux visés par des tentatives de phishing sur mobile, vous réduirez de manière bien plus efficace les possibilités pour les cyberattaquants de distribuer des logiciels malveillants sur mobile.
La nouvelle solution Falcon for Mobile™ de CrowdStrike met la visibilité au cœur de son approche de la sécurité des endpoints mobiles et offre aux entreprises une meilleure compréhension des menaces mobiles potentielles. Grâce à une visibilité en temps réel sur les adresses IP, les paramètres des terminaux, les connexions Bluetooth et Wi-Fi et les données du système d’exploitation, Falcon for Mobile permet une surveillance avancée de l’activité des terminaux mobiles.
Regardez la vidéo ci-dessous pour une présentation rapide des fonctionnalités de Falcon for Mobile :
Pour en savoir plus sur Falcon for Mobile, notre nouvelle solution de détection et d’intervention sur les endpoints, consultez les ressources ci-dessous :