Malware KeyRaider - comment s'en protéger ?

Nos amis de Palo Alto Networks ont découvert un tout nouveau malware qui va faire parler de lui … et qui va surement faire des petits.

Ce malware dénommé KeyRaider affecte les terminaux mobiles iOS “jailbrakés”. Le Jailbreak consiste à contourner le contrôle réalisé par Apple sur les applications mobiles installées sur le terminal. L’OS mobile d’Apple n’accepte l’installation que d’applications signées et approuvées par Apple. Cela via le market place d’Apple “App Store”.

Le Jailbreak consiste donc à modifier, de façon “bas niveau”, l’iOS afin que celui-ci accepte l’installation d’applications mobiles non signées par Apple. Ce Jailbreak apporte donc la possibilité d’installer à la fois des applications que l’on ne retrouverait pas dans “l’App Store” ou tout simplement des applications “piratées”, c’est à dire payante dans l’App Store d’Apple, mais “gratuite” dans l’Underground du Jailbreak.

Malheureusement, le Jailbreak apporte avec lui des inconvénients :

- pas de contrôle de l’origine de l'application

- pas de contrôle du contenu de l'application

- pas de contrôle des actions de l'application

 

Et c’est là que le malware KeyRaider entre en jeu. Une fois installé via une application non signée (donc non contrôlée), celui-ci va récupérer des informations personnelles saisies dans l’iOS. Les principales informations recueillies à l’heure actuelle, sont les transactions iTunes. Mais ce malware vole aussi les données de connexion de l’utilisateur. Les victimes du malware ont vu des achats effectués à leur insu ou se sont vu demander une rançon pour débloquer leur appareil (le hacker pouvant bloquer l’appareil à distance).

 

Le contrôle de la flotte mobile :

Il est très difficile pour les entreprises de contrôler ce que font leurs collaborateurs avec les terminaux mobiles qui leurs sont fournis (smartphones, tablettes …). Il existe pourtant des solutions bien connues comme les MDM (Mobile Device Manager) permettant de contrôler ceci.

Un MDM permet à l’entreprise de déployer sur l’ensemble de la flotte mobile un agent de contrôle. Cet agent contrôle en temps réel la conformité du terminal mobile (code PIN activé, caméra désactivée …). Il va de soi que si un utilisateur tentait de Jailbreaker son terminal, un nouvel agent MDM devra être déployé sur le terminal et celui-ci détectera la présence à la fois du Jailbreak mais surtout d’applications non conformes avec la politique de sécurité de l’entreprise - un MDM étant capable de référencer l’ensemble des applications installées sur la flotte mobile.

Et si l’employé, un peu malin, décide de ne pas déployer de nouveau l’agent après le Jailbreak (afin de ne pas être repéré), l’infrastructure d’accès au SI a la possilbité de contrôler auprès du MDM que ce terminal est non conforme. Les solutions F5 Networks peuvent interagir avec les acteurs MDM du marché tels que AirWatch, MaaS360 ou MobileIron via l’API REST. N'importe quel MDM disposant d'une API REST peut intéragir avec les solutions F5 Networks.

Ainsi, si le collaborateur tente de se connecter au SI de l’entreprise avec un terminal Jailbreaké, donc potentiellement dangereux, l’infrastructure refusera l’accès à ce terminal même si l’utilisateur dispose des droits d’accès à cette infrastructure (login, mot de passe, certificat …).

Le module APM de F5 Networks permet de répondre à cette problématique de contrôle des terminaux mobiles avant l’accès au SI de l’entreprise. J’ai rédigé un article concernant cette intégration ici : https://devcentral.f5.com/s/articles/per-app-vpn-airwatch-et-f5-bigip-apm-13032

 

La protection des applications mobiles :

 

Jusque là, je n’ai abordé que la protection du SI et non la protection des informations personnelles de l’utilisateur. Hors, un malware sur un terminal mobile peut :

- voler des informations personnelles saisies dans le terminal (compte iTunes par exemple)

- utiliser le terminal comme Bot ou Robot afin de réaliser des taches non souhaitées et non détectées par l’utilisateur. Il existe par exemple des malwares qui envoient des SMS surtaxés à l’insu de l’utilisateur.

- récupérer des informations de connexion saisies à la volée par l'utilisateur (mots de passe)

 

F5 Networks propose dans son offre de sécurité une solution innovante nommé MobileSafe. MobileSafe s'intègre aux applications mobiles pour protéger contre la fraude ciblant les utilisateurs de périphériques mobiles. Parfaitement adapté aux banques et sites de vente en ligne, ce service unique détecte les malwares et périphériques Jailbreakés et protège contre les enregistreurs de frappe et les applications frauduleuses tout en garantissant que les informations interceptées par des programmes malveillants ne puissent pas être utilisées par les attaquants.

La solution MobileSafe s’intègre aux applications mobiles via un SDK permettant aux développeurs de tirer parti des fonctionnalités de sécurisations des terminaux mobiles.

 

En conclusion :

Il est donc possible pour les entreprises de se protéger à la fois au niveau de l’application mobile grâce à des solutions de type MobileSafe mais surtout de ne donner l’accès à son SI qu’aux terminaux conformes grâce aux solutions de MDM couplées au module APM de F5 Networks.