Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Monokle » ou l’exemple type d’attaque ciblée sur mobiles

novembre 2019 par Alain Establier Editor in Chief | SDBR NEWS

Dans une interview réalisée par Alain Establier, Rédacteur en Chef de SDBRNews (www.sdbrnews.com), Bastien Bobe, Mobile Security Expert chez Lookout, nous aide à comprendre le processus d’attaque ciblée contre des terminaux mobiles, via le malware « Monokle », qui est un bel exemple de la « guerre tiède » qui a commencé…

SDBRNews : Vos chercheurs ont identifié récemment « Monokle ». Pouvez-vous nous en parler ?

Bastien Bobe : Avec plusieurs dizaines de chercheurs dédiés uniquement à la sécurité sur les mobiles nous sommes probablement la seule entité au monde à avoir une telle force de recherche en matière de mobiles. C’est grâce à cette spécialisation que nos chercheurs ont révélé en juillet 2019 une nouvelle menace très ciblée en provenance de Russie. Cette attaque sophistiquée utilise des outils de Surveillance mobile appelés « Monokle ». Les recherches menées par Lookout ont permis de tracer cette attaque et de la relier à une société basée en Russie nommée « Special Technology Centre, Ltd – STC ». STC est un sous-traitant privé de la défense russe, réputé pour la production de véhicules aériens sans pilote (UAV) et d’équipements de radiofréquence, destinés à l’armée russe et à d’autres clients gouvernementaux. STC opère à Saint-Pétersbourg depuis 2000 et compte environ 1500 employés. Développé par STC, Monokle est un logiciel de surveillance mobile avancé qui compromet la vie privée de l’utilisateur en exfiltrant les données personnelles stockées sur un appareil infecté, via une infrastructure de commande et de contrôle (C2C). Bien que la plupart de ses fonctionnalités soient typiques d’un logiciel de surveillance mobile, Monokle se distingue par le fait qu’il utilise une méthode innovante pour être extrêmement efficace lors de l’exfiltration de données, sans avoir à « rooter » le terminal. Monokle utilise notamment les services d’accessibilité Android pour exfiltrer les données d’applications tierces et utilise des dictionnaires de texte prédictifs de l’utilisateur pour avoir une idée des sujets d’intérêt pour une cible. Monokle permet également de réaliser une capture d’écran lors du déverrouillage d’écran afin de compromettre le code PIN, le schéma ou le mot de passe d’un utilisateur.

SDBRNews : Vos chercheurs ont-ils pu déterminer les cibles de Monokle ?

Bastien Bobe : Monokle apparaît dans un ensemble très limité d’applications, ce qui implique que les attaques utilisant Monokle sont très ciblées. Beaucoup de ces applications sont « trojanisées » et incluent des fonctionnalités légitimes, de sorte que les utilisateurs ne soupçonnent rien. Les données de surveillance indiquent que cet outil est toujours en cours de déploiement actif. Lookout a été capable de relier STC à Monokle, car la société a également découvert que STC développait un ensemble d’applications de sécurité Android, notamment une solution antivirus, qui partage la même infrastructure que les composants de Monokle. Ces applications, offensives et défensives, auraient été développées « pour un client gouvernemental » selon un développeur de STC. Lookout a diffusé le 23 juillet 2019 un rapport complet de cette nouvelle menace, listant plus de 80 indicateurs de compromissions (IOCS) permettant aux entreprises et aux gouvernements qui le souhaitent de chercher ces marqueurs de compromissions sur leur flotte installée.

SDBRNews : Y a-t-il, d’après vous, inflation du nombre d’attaques sur les mobiles ?

Bastien Bobe : Globalement, nous n’assistons pas à une forte augmentation des attaques sur les mobiles. En revanche, le pourcentage reste le même avec un périmètre en forte augmentation. En moyenne, sur les terminaux d’entreprises, nous observons un taux de 5% de terminaux attaqués, ces terminaux révélant chacun au moins une vraie attaque par an. Cette observation moyenne n’empêche pas des pics : par exemple, en septembre 2019, nous avons vu ce taux atteindre 8% dans certaines entreprises. Les attaques sur mobiles présentent le risque d’avoir touché un individu (via WhatsApp ou Facebook, via un lien corrompu, via du code caché dans un SMS, etc.) qui, sans le savoir, pourra l’injecter ensuite dans l’entreprise grâce au BYOD ! Il faut donc vraiment protéger les mobiles, particulièrement les mobiles non gérés accédant aux ressources de l’entreprise, que ce soit avec Lookout ou avec un autre produit. Les entreprises doivent prendre conscience du haut niveau de risque sur des outils connectés en permanence : le PC n’est pas connecté en permanence, mais le mobile est connecté en permanence, voire jour et nuit pour certains. Comme l’a dit Guillaume Poupard en ouvrant les Assises de la Sécurité 2019, « il faut savoir détecter pour pouvoir apporter une réponse à incident »…

- Pour en savoir plus : https://www.sdbrnews.com/


Voir les articles précédents

    

Voir les articles suivants