Introduction
Dans la dernière mise à jour des services Google Play, une fonction de redémarrage automatique pour les appareils Android est apparue, compliquant ainsi l’extraction de données à l’aide d’outils d’analyse modernes. Lorsqu’un téléphone est allumé, il entre dans un état appelé “Avant le premier déverrouillage”, où la plupart des données utilisateur restent cryptées. Après le premier déverrouillage, il passe à l’état “Après le premier déverrouillage” (AFU), rendant les données accessibles pour extraction. Cette fonctionnalité entraîne un redémarrage automatique de l’appareil s’il reste inactif pendant 72 heures.
Applications Malveillantes dans les Smartphones
Les chercheurs de Dr.Web ont signalé la présence d’applications trojanisées préinstallées dans des versions économiques de modèles de smartphones Android haut de gamme de Samsung et Huawei. Parmi ces programmes modifiés figurent des applications de messagerie telles que WhatsApp et Telegram, ainsi que des scanners de codes QR. Par exemple, le malware Shibai intercepte le processus de mise à jour des applications et fouille les discussions à la recherche d’adresses de portefeuilles de crypto-monnaie Ethereum ou Tron, pour les remplacer par des adresses frauduleuses.
De plus, Shibai scanne les images sauvegardées à la recherche de phrases de récupération. Les attaquants utilisent environ 30 domaines pour distribuer leurs malwares et plus de 60 serveurs de commande. Au cours des deux dernières années, les portefeuilles des organisateurs de ce schéma ont reçu plus de 1,6 million de dollars.
Vulnérabilités dans les Portefeuilles de Navigateur
Des chercheurs de Coinspect ont découvert des vulnérabilités critiques dans les portefeuilles de navigateur Stellar Freighter, Frontier Wallet et Coin98 qui permettent de voler des actifs sans être détectés. Ces portefeuilles injectent du code dans chaque onglet visité par l’utilisateur, établissant ainsi un canal de communication. Cela permet à l’application de reconnaître le portefeuille et de demander un accès à des fonctions clés.
En raison de l’absence de séparation entre les canaux de communication, un attaquant peut provoquer la confusion en envoyant un message à une API privilégiée via un écouteur dans le script de fond.
Les requêtes malveillantes imitent celles légitimes, pouvant entraîner l’affichage d’une phrase de récupération à des fins de sauvegarde.
Les experts ont déjà communiqué les détails de ces vulnérabilités aux développeurs des trois portefeuilles, qui ont apporté les corrections nécessaires.
Incidents de Cybersécurité
Le 14 avril, le forum en ligne 4chan a subi une grave attaque, suspendant temporairement ses opérations. Les membres du tableau d’images Soyjak.party ont revendiqué la responsabilité de l’incident, diffusant des captures d’écran des panneaux de contrôle et une liste d’adresses e-mail supposément appartenant aux dirigeants de la plateforme. Le site est redevenu inaccessible, probablement à la suite de l’extinction des serveurs par les administrateurs.
Initiative de Prodaft
La société suisse de cybersécurité Prodaft a annoncé son intention d’acheter des comptes provenant de forums du darknet. Ils s’intéressent aux comptes enregistrés avant décembre 2022 et garantissent de payer les propriétaires en crypto-monnaie, avec des montants plus élevés pour les comptes de modérateur ou d’administrateur. Cette initiative permet aussi aux utilisateurs de signaler anonymement les cybercrimes.
Demandes de Suppression sur Reddit
La plateforme américaine Reddit a reçu 122 demandes de suppression de contenu en provenance d’agences gouvernementales et d’organismes judiciaires. Notamment, la Russie a soumis 15 demandes, mais Reddit n’en a satisfait que quatre (26 %). Moins d’un tiers du contenu concerné violait réellement les règles de la plateforme. Les autorités des Émirats Arabes Unis ont adressé le plus grand nombre de demandes (24), tandis que 27 demandes se sont avérées infondées.
