Une nouvelle version du malware Android RedHook marque une évolution préoccupante des menaces visant les smartphones. En détournant le Wireless Android Debug Bridge (ADB), un outil normalement réservé aux développeurs pour tester et déboguer leurs applications, les cybercriminels peuvent prendre discrètement le contrôle total d’un appareil, sans exploiter la moindre vulnérabilité logicielle.

Shane Barney, Chief Information Security Officer chez Keeper Security, alerte sur le fait que cette technique démontre les limites des mécanismes de sécurité traditionnels, comme l’authentification multifacteur, les identifiants bancaires ne sont presque plus qu’un détail, car l’attaquant contrôle la session, les frappes au clavier et l’écran.

Les campagnes observées jusqu’à présent se concentrent au Vietnam et en Indonésie, mais la technique en elle-même n’est pas spécifique à une région. Elle exploite des fonctionnalités présentes sur tous les appareils Android, et non une faiblesse propre à une banque ou à un marché en particulier. Les méthodes qui s’avèrent efficaces contre un marché donné restent rarement confinées à celui-ci, comme l’histoire des logiciels malveillants ciblant les services bancaires mobiles l’a démontré à maintes reprises.

Mais cela va au-delà des applications bancaires personnelles. Toute organisation qui tolère que des appareils personnels non gérés accèdent à ses systèmes d’entreprise est exposée aux mêmes mécanismes. La compromission totale d’un appareil ne s’arrête pas à l’écran de connexion d’une application. Elle permet de capturer tous les jetons de session, tout demandant l’accès, qu’il soit humain ou automatisé.

Les techniques de persistance de RedHook — les services qui se relancent, les « wake-locks », l’activité invisible au premier plan — reflètent toutes un objectif de conception délibéré : rester résident suffisamment longtemps pour tirer pleinement parti de l’accès. La rapidité de détection est la variable qui détermine l’ampleur des dégâts, et de nombreuses organisations sont encore à la traîne par rapport aux attaquants sur ce point.

Les organisations qui n’ont pas vérifié quels appareils personnels peuvent accéder aux systèmes d’entreprise, ou qui considèrent l’authentification multifactorielle comme la dernière ligne de défense plutôt que la première, sont déjà à la traîne. Le principe est simple : vérifier en continu, et pas seulement à l’entrée.