Un peu de technique…

Le cauchemar commence par une attaque sophistiquée et persistante qui a ciblé les appareils Android, ainsi que ceux d'Apple et d'Amazon, d'une victime anonyme, utilisant une gestion malveillante des appareils mobiles (MDM). Les appareils, même ceux récemment achetés, ont été compromis par un réseau complexe de configurations d'entreprise et de privilèges d'administrateur cachés. L'attaquant a utilisé des méthodes telles que Zero Touch Enrollment de Google et Knox Mobile Enrollment de Samsung pour activer silencieusement le MDM malveillant et obtenir un contrôle à distance. Des applications cachées ont permis un contrôle persistant malgré les réinitialisations d'usine. Un contrôleur LAN sans fil Cisco malveillant a permis des attaques "man-in-the-middle". Des méthodes d'approvisionnement "Over-the-Air" ont été utilisées pour propager le MDM malveillant vers de nouveaux appareils, compromettant ainsi même ceux qui n'étaient pas physiquement accessibles.

Il est important de noter que l'objectif final de l'attaquant dans ce cas précis était de faciliter des transactions frauduleuses de type ACH (Automated Clearing House), entraînant des paiements non autorisés depuis le compte bancaire de la victime vers de fausses entités pendant une année entière, et ce, pour un montant considérable. L'ex-partenaire de la victime, membre d'une organisation criminelle de "Brouteurs" basée en Côte d'Ivoire, est soupçonné d'être responsable de ces activités frauduleuses.

Dès que la victime a fermé le compte compromis, son ex-partenaire a disparu et les transactions ACH frauduleuses ont cessé. La victime n'avait jamais rencontré de problèmes avec ce compte avant de rencontrer son ex-partenaire, et les transactions frauduleuses ont cessé après son départ.

Un incident en particulier a confirmé à la victime que son ex-partenaire était impliqué. Alors qu'elle discutait au téléphone avec un détective du fait que les fraudes avaient cessé depuis le départ de son ex-partenaire, une semaine plus tard, deux fraudes ACH sont apparues sur son nouveau compte bancaire. Seules deux personnes avaient connaissance de ce nouveau compte : la victime elle-même et son ex-partenaire. Il est probable que l'ex-partenaire ait intercepté les communications entre la victime et le détective, et ait décidé de commettre ces deux fraudes ACH sur le nouveau compte pour discréditer la théorie de la victime.

Les méthodes de l'attaquant incluent également l'exploitation de fonctionnalités d'approvisionnement géré, comme en témoignent de nombreuses entrées liées à "com.android.managedprovisioning" et diverses actions d'entreprise dans les journaux système. Ces entrées suggèrent que l'attaquant a exploité les faiblesses du processus d'approvisionnement et des configurations EMM pour inscrire les appareils sans autorisation appropriée, obtenant ainsi le contrôle sur les politiques, les paramètres et les applications des appareils.

Les vulnérabilités de sécurité exposées par cette attaque sont importantes et préoccupantes. La faiblesse de la sécurité des comptes, les vulnérabilités non corrigées, l'infrastructure réseau non sécurisée, le durcissement insuffisant des appareils et l'approvisionnement géré non contrôlé ont tous contribué à la capacité de l'attaquant à compromettre les appareils de la victime. L'absence de mécanismes de visibilité et de surveillance a permis à l'attaquant d'opérer sans être détecté pendant une période prolongée, soulignant la nécessité de solutions de sécurité robustes et d'audits réguliers.

Malgré les efforts de la victime pour obtenir l'aide des grandes entreprises technologiques telles qu’Apple, Samsung, Amazon, Cisco, Google et T-Mobile, elle s'est heurtée à l'incompétence, à l'ignorance et à l'indifférence. La victime a investi des sommes considérables dans des programmes recommandés par ces entreprises et dans l'achat de nouveaux équipements, pour finalement faire face à un manque de soutien et à un déni total d'assistance. Cette attitude non réactive des géants de la technologie a engendré de la frustration et un sentiment d'abandon chez la victime.

Les tentatives de la victime d'impliquer les forces de l'ordre se sont également avérées vaines, aggravant encore sa détresse et la laissant sans le soutien nécessaire pour lutter contre cette attaque sophistiquée.

Alors que l'enquête se poursuit, la victime travaille de manière indépendante pour mener une analyse criminalistique approfondie de ses appareils et de son réseau. Elle a signalé l'inscription non autorisée de ses appareils à Google et Samsung, espérant obtenir de l'aide pour les retirer du contrôle de l'attaquant. Des réinitialisations d'usine et des remplacements d'appareils sont en cours, ainsi qu'un audit de sécurité complet de l'infrastructure réseau de la victime.

Cette attaque sert de rappel des menaces complexes auxquelles sont confrontés les utilisateurs d'appareils mobiles et des défis à obtenir un soutien adéquat de la part des entreprises technologiques et des forces de l'ordre. Elle souligne l'importance de mesures de sécurité robustes, de mises à jour logicielles régulières et d'une surveillance continue. La communauté de la cybersécurité doit collaborer pour résoudre ces problèmes, partager ses connaissances et développer des solutions efficaces pour se protéger contre des attaques aussi sophistiquées.

Alors que les appareils mobiles deviennent de plus en plus partie intégrante de nos vies, il est crucial que les individus, les organisations et les fabricants d'appareils donnent la priorité à la sécurité des écosystèmes mobiles. Ce n'est que par un effort collectif et un engagement à rester vigilants que nous pourrons espérer préserver la confidentialité et la sécurité de nos vies numériques face à l'évolution des menaces.