La société de sécurité Zimperium a publié de nouvelles informations importantes sur la campagne de malware Gigabud, en lien direct avec le spyware Spynote. Ces deux malwares qui visent les utilisateurs Android sont au cœur d’une campagne mondiale soigneusement orchestrée.
La double attaque de Gigabud et Spynote
Les experts de zLabs, la branche de recherche de Zimperium, ont découvert que cette opération repose sur des sites de phishing imitant des institutions financières pour pousser les utilisateurs à télécharger des applications malveillantes. Une fois installées, ces apps permettent aux pirates de prendre le contrôle des appareils infectés et de réaliser des transactions frauduleuses.
Le malware Gigabud s’attaque particulièrement aux utilisateurs de banques, en leur soutirant des informations d’identification via des applications falsifiées. De son côté, Spynote offre aux pirates un contrôle total des appareils infectés, permettant le vol de données, l’enregistrement de médias et même la géolocalisation des victimes.
Cette double menace, combinée à une stratégie sophistiquée de diffusion par phishing, élève fortement le niveau de risque pour les utilisateurs individuels et les entreprises dont les données pourraient être compromises via des appareils partagés.
Selon les recherches de Zimperium, cette campagne affecte des institutions financières à travers le monde, notamment en Afrique et en Asie. Les sites de phishing imitent des marques connues comme Ethiopian Airlines et des plateformes de prêts au Vietnam, incitant les utilisateurs à télécharger des applications corrompues.
Une fois installées, ces applications requièrent des autorisations sensibles qui permettent aux malwares de prendre le contrôle des appareils. Zimperium a identifié au moins 79 sites de hameçonnage et 11 serveurs de commande et de contrôle liés à cette opération.
Les experts de zLabs ont également observé un changement dans les méthodes des cybercriminels. Alors que les campagnes de phishing ciblaient initialement des services gouvernementaux, les attaques se concentrent désormais sur les institutions financières. Plus de 50 applications financières, dont des plateformes de crypto-monnaies, ont été visées.
Un autre facteur alarmant est l’utilisation d’un outil de protection avancé, Virbox, qui permet à ces malwares d’échapper aux systèmes de défense classiques. Ce procédé d’obfuscation complique la détection et l’analyse du malware, renforçant ainsi l’efficacité de la campagne. « Le lien entre Gigabud et Spynote montre l’escalade des attaques de malwares mobiles », explique Nico Chiaraviglio, directeur scientifique chez Zimperium.
Si un appareil personnel infecté est utilisé pour accéder à des applications d’entreprise, les attaquants pourraient potentiellement voler des informations d’identification, détourner des mots de passe à usage unique (OTP) et infiltrer des réseaux professionnels. L’impact pour les entreprises peut être considérable, cela va de la compromission des données sensibles à des pertes financières importantes.
Zimperium appelle donc les organisations à renforcer leur défense mobile en adoptant des mesures de sécurité en temps réel directement sur les appareils.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
