AVIS D’EXPERT – L’explosion des malwares bancaires est devenue une préoccupation pour l’ensemble du secteur financier, en particulier les banques traditionnelles et numériques les contraignant à se revoir leur stratégie de défense. Un état des lieux accompagné de bonnes pratiques proposé par Ashish Patel, directeur général EMEA chez Zimperium.
Dans un monde où les malwares bancaires s’adaptent continuellement et découvrent de nouvelles vulnérabilités, le temps n’est plus à la complaisance. Grifthorse, Godfather et autres logiciels malveillants ont évolué et ciblé des centaines de banques afin de voler des informations d’identification et de commettre des fraudes. Les dernières recherches montrent qu’entre 2021 et 2022 le nombre total d’échantillons uniques de malwares sur mobiles a progressé de 51 %, avec plus de 920 000 échantillons de Dirty RatMilad, MoneyMonger et Dark Herring détectés. Cela a incité de nombreux établissements bancaires et organismes de réglementation à se tourner vers de nouvelles solutions pour sécuriser les applications bancaires mobiles. Et, en ce sens, la sécurité adaptative n’est plus un concept futuriste. Elle est devenue aujourd’hui une approche éprouvée et incontournable. Il est urgent de rendre les applications bancaires plus intelligentes et plus sûres.
Malware bancaire : comment ça marche ?
Les escroqueries bancaires sont extrêmement hétérogènes et sévissent sur de multiples plateformes et supports. Conçues avec une compréhension approfondie de la psychologie humaine, ces escroqueries font appel à des campagnes d’ingénierie sociale très sophistiquées qui distribuent des liens de phishing en apparence inoffensifs via des e-mails, des SMS, ou des QR codes corrompus. Ce qui rend ces tactiques si sournoises, c’est qu’elles imitent une activité bancaire légitime, donnant à l’utilisateur un faux sentiment de sécurité. En cliquant sur l’URL fournie ou en scannant le QR code, l’utilisateur est redirigé vers une fausse page et encouragé à télécharger et installer une application qui est, en réalité, un malware. L’application peut ensuite scanner le téléphone de l’utilisateur, identifier les applications bancaires existantes et télécharger les actifs nécessaires à partir d’un serveur de commande de contrôle pour perfectionner son imitation d’un site légitime. À partir de là, le malware déploie un dispositif perfectionné à chaque connexion de l’utilisateur à sa véritable application bancaire. Ainsi, il intercale de manière transparente un écran corrompu lors de la connexion, capturant les informations d’identification de l’utilisateur et le mot de passe à usage unique (OTP), puis redirige l’utilisateur vers l’application légitime, sans que l’utilisateur ne s’en aperçoive. D’autres fonctionnalités de malwares, telles que le contrôle à distance et le partage d’écran, aident à intercepter et à autoriser les transactions permettant de retirer de l’argent du compte, sans éveiller les soupçons. Si l’appareil de l’utilisateur final héberge plusieurs applications bancaires, le malware continue de compromettre chacune d’elles jusqu’à ce qu’il réussisse.
Comment les banques réagissent-elles à la menace ?
Les menaces provenant des malwares évoluent rapidement. Les hackers partagent entre eux les codes malveillants et créent de nouvelles variantes encore plus performantes. « CypherRat » a combiné, pour voler des identifiants de compte, les capacités d’espionnage de SpyNote avec des fonctionnalités de cheval de Troie bancaire (accès à distance, suivi GPS, mises à jour de l’état et de l’activité de l’appareil). Pour lutter, les banques ajoutent de nouvelles fonctionnalités de sécurité à leurs applications mobiles pour détecter les comportements malveillants. Ces nouveaux protocoles de sécurité, peuvent temporairement bloquer l’accès à l’application si des malwares sont détectés sur leur téléphone. Les clients qui souhaitent accéder à leurs comptes bancaires sont donc confrontés non seulement à des difficultés d’accès, mais également à des problèmes de confidentialité en raison de ces protocoles. Mais le problème des malwares bancaires est multiple. Il est impossible de qualifier une application de malware sur la seule base de ses fonctionnalités, autorisations ou sources individuelles, car les applications légitimes ont souvent les mêmes caractéristiques. De plus, les hackers sont astucieux. Dès qu’ils identifient les outils de sécurité à cibler, ils créent de nouvelles autorisations ou fonctionnalités pour échapper à la détection. Il n’existe pas de fonctionnalité unique permettant de déterminer si une application est malveillante et présente un risque.
Mettre en place une sécurité adaptative
Une application bancaire mobile peut-elle détecter une menace, qu’elle provienne de l’appareil connecté, de la connexion réseau ou d’un malware qui occupe le même espace ? La réponse est « oui », grâce à une « sécurité d’exécution adaptative ». Cette approche proactive et réactive peut, en effet, permettre aux applications bancaires mobiles de se défendre elles-mêmes. Contrairement aux mesures statiques, la sécurité adaptative ressemble à un système immunitaire biologique autonome, s’adaptant à l’évolution permanente des menaces. La sécurité des applications bancaires mobiles doit être aussi dynamique et intelligente que les menaces qu’elle cherche à combattre. Il est donc important d’adopter des solutions capables de créer une application bancaire mobile qui ne se contente pas de réagir aux menaces actuelles, mais qui est également préparée aux menaces à venir. Intégrer ce type de mesures de sécurité avancées permet de renforcer les défenses, de protéger la vie privée des utilisateurs et de favoriser la confiance au sein de l’ensemble de l’écosystème financier.
Ashish Patel, directeur général EMEA chez Zimperium