Menaces mobiles en 2013

Contenu

    L’industrie  des programmes malveillants qui ciblent les appareils mobiles ne cesse de se développer, tant au niveau technologique que structurel. Nous pouvons affirmer ouvertement que le cybercriminel d’aujourd’hui n’est plus le pirate qui agit en solitaire, mais bien un maillon dans un processus commercial sérieux.

    L’industrie des programmes malveillants se caractérisent par une répartition des rôles bien définie entre les intervenants : auteurs de virus, testeurs, designer d’interface des programmes malveillants et des sites Internet de diffusion de ceux-ci, fondateurs des partenariats qui diffusent les programmes malveillants, propriétaires des réseaux de zombies d’appareils mobiles.

    Le comportement des chevaux de Troie permet également de voir la répartition des tâches entre les individus malintentionnés. 2013 aura été marqué par la coopération (probablement dans un contexte commercial) entre différents groupes d’auteurs de virus. Ainsi, le réseau de zombies Trojan-SMS.AndroidOS.Opfake a contribué, en parallèle à sa propre activité malveillante, à la diffusion de Backdoor.AndroidOS.Obad.a via l’envoi aux contacts de la victime de messages non sollicités contenant des liens vers le programme malveillant.

    Comme on peut le voir, ce secteur d’activité est assez formel et se tourne de plus en plus vers l’obtention d’un revenu, comme en témoigne les possibilités des programmes malveillants.

    Chiffres de l’année

    • Sur l’ensemble de l’année 2013, 143 211 nouvelles modifications de programmes malveillants pour appareils mobiles ont été identifiées (chiffres valides au 1er janvier 2014).
    • Les individus ont utilisé en 2013 près de 4 millions (3 905 502) de packs d’installation afin de diffuser les programmes malveillants pour appareils mobiles. Pour 2012-2013, nous avions identifié près de 10 millions de packs d’installation malveillants uniques :

     
    Quantité de packs d’installation malveillants détectés, 2012-2013

    Pour rappel, différents packs d’installation peuvent installer des programmes dotés de fonctionnalités identiques. La différence se manifeste uniquement au niveau de l’interface de l’application malveillante ou, par exemple, du contenu des SMS diffusés.

    • La plateforme Android demeure la cible de prédilection des attaques. 98,05 % de l’ensemble des programmes malveillants détectés en 2013 étaient destinés à cette plateforme, ce qui témoigne à la fois de la popularité de ce système d’exploitation et de la vulnérabilité de son architecture.

     
    Répartition par système d’exploitation des programmes malveillants pour appareils mobiles détectés en 2013

    • La majorité des programmes malveillants pour appareils mobiles visent à voler l’argent des utilisateurs. C’est le cas des chevaux de Troie SMS, de nombreuses portes dérobées et d’une partie des programmes malveillants de la catégorie Cheval de Troie.

     
    Répartition par catégorie des programmes malveillants pour appareils mobiles

    • En un an, le nombre de modifications de programmes malveillants de phishing, de vol de données de carte de crédit et de vol d’argent sur les comptes en banque des utilisateurs a été multiplié par 19,7. En 2013, les solutions de protection pour appareils mobiles de Kaspersky Lab ont déjoué 2 500 infections par des chevaux de Troie bancaires.

    Méthodes et technologies

    En 2013, les auteurs de virus pour appareils mobiles ne se sont pas seulement contentés d’augmenter la quantité de programmes malveillants produite. Ils ont également adopté des méthodes et des technologies qui permettent aux cybercriminels d’utiliser ces programmes malveillants avec une plus grande efficacité. Nous avons identifié quelques tendances dans le développement des programmes malveillants pour appareils mobiles.

    Propagation

    Les individus malintentionnés ont mis au point les méthodes les plus rusées pour infecter les appareils mobiles.

    L’infection de ressources Internet légitimes permet de propager les programmes malveillants pour appareils mobiles via des sites Internet très fréquentés. De plus en plus d’utilisateurs naviguent sur Internet via leur téléphone ou leur tablette sans se douter que même le site le plus respectable peut être compromis par des individus malintentionnés. D’après nos estimations, 0,4 % des sites visités par les utilisateurs de nos produits étaient des ressources compromises et infectées.

    Propagation via des magasins d’applications alternatifs. Il existe en Asie de nombreuses sociétés qui produisent des appareils Android ainsi que des applications pour ce système. Nombreuses sont celles qui disposent de leur propre magasin qui propose des applications qui ne sont pas disponibles sur Google Play. Le contrôle des applications chargées sur ces magasins est loin d’être strict, ce qui permet aux individus malintentionnés d’y placer leurs chevaux de Troie sous les traits de jeux ou d’utilitaires parfaitement inoffensifs.

    Propagation via réseau de zombies.  En général, les bots se propagent en envoyant aux contacts de la victime des SMS contenant un lien malveillant. On a même recensé un cas de propagation de programme malveillant pour appareil nomade via un réseau de zombies secondaire.

    Résistance face aux solutions de protection

    Une des tendances importantes observées dans le développement des programmes malveillants, c’est leur capacité à agir longtemps sur l’appareil mobile de la victime. La quantité d’argent que le cheval de Troie peut rapporter à son propriétaire est directement proportionnelle au temps qu’il peut passer sur le smartphone. Les auteurs de virus travaillent beaucoup dans cette direction, ce qui se traduit par l’émergence d’un grand nombre de nouveautés technologiques.

    Les individus malintentionnés utilisent de plus en plus souvent l’obfuscation, une procédure qui consiste à compliquer l’analyse du code. Plus l’obfuscation est compliquée, plus il faudra du temps avant que les logiciels antivirus ne parviennent à neutraliser le programme malveillant. Il est intéressant de constater que les auteurs de virus utilisent maintenant des obfuscateurs commercialisés, ce qui laissent présager des investissements, souvent conséquents. Ainsi, un obsfucateur vendu au prix de 350 EUR a été utilisé pour les chevaux de Troie Opfak.bo et Obad.a.

    Les individus malintentionnés utilisent les vulnérabilités sous Android  pour contourner la vérification de l’intégrité du code lors de l’installation (vulnérabilité Master Key) afin d’accroître les privilèges des applications, ce qui augmente sensiblement ses possibilités et complique la suppression des programmes malveillant. Par exemple, Spveng exploite une vulnérabilité inconnue jusqu’à présent qui le protège contre la suppression manuelle ou à l’aide d’un logiciel antivirus.

    Les cybercriminels ont également maîtrisé, grâce à la vulnérabilité Master Key, les techniques d’insertion de fichiers exécutables non signés dans les packs d’installation d’applications Android. Ils déjouent la vérification de la signature numérique en donnant au fichier malveillant un nom identique à celui d’un fichier légitime et le place au même niveau dans l’archive. Le système analyse la signature du fichier légitime, mais il installe le fichier malveillant.

    Malheureusement, les vulnérabilités pour Android ne peuvent être éliminées que via l’application d’une mise à jour fournie par les fabricants d’appareils et certains d’entre eux ne se pressent pas pour actualiser le système d’exploitation. Et si le modèle de votre smartphone ou de votre tablette a plus d’un an, il est plus que probable qu’il ne soit plus pris en charge par le fabricant et par conséquent, il ne faudra pas compter sur la suppression des vulnérabilités. Dans ce cas, seule une solution antivirus comme Kaspersky Internet Security for Android peut être utile.

    L’insertion d’un code malveillant dans des applications légitimes permet de dissimuler l’infection chez la victime. Bien entendu, cette technique n’est pas compatible avec l’utilisation de la signature numérique du développeur du programme, mais vu l’absence de centre de certification des signatures numériques pour les applications Android, rien n’empêche les individus malintentionnés d’introduire leur propre signature et c’est bel et bien ce qui se passe. Ainsi, des versions du jeu Angry Birds, qui fonctionnent normalement, installées depuis un magasin non officiel ou téléchargées depuis un forum pourraient contenir une fonction malveillante.

    Possibilité et fonctions

    Nous avons identifié en 2013 quelques nouveautés technologiques développées par des individus malintentionnés et exploitées dans les programmes malveillants. Nous allons nous pencher sur quelques-unes des plus intéressantes d’entre elles.

    La gestion des programmes malveillants depuis un centre unique confère une souplesse maximale dans l’application de ces programmes. Les réseaux de zombies permettent d’obtenir un revenu bien plus important que celui généré par les chevaux de Troie autonomes. Il n’est dès lors pas étonnant que de nombreux chevaux de Troie SMS possèdent également une fonction de bot. D’après nos estimations, près de 60 % des programmes malveillants pour appareils nomades présentent des éléments de grands ou de petits réseaux de zombies composés d’appareils nomades.

    La gestion via Google Cloud Messaging permet aux opérateurs d’un réseau de zombies de se passer d’un serveur de commandes, ce qui élimine la menace de la détection et de la mise hors service par les autorités judiciaires et policières. Le service Google Cloud Messaging permet d’envoyer aux appareils mobiles des messages de 4 Ko maximum via les serveurs de Google. Pour pouvoir utiliser ce service, le développeur doit simplement s’inscrire et obtenir un identifiant unique pour ses applications. Il est impossible de bloquer directement les commandes reçues via GCM sur un appareil infecté.

    Nous avons détecté quelques programmes malveillants gérés et contrôlés via GCM : le très répandu Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao, Trojan-SMS.AndroidOS.OpFake.a et beaucoup d’autres. Google est très actif dans la lutte contre cette utilisation détournée du service et bloque les identifiants des individus malintentionnés dès qu’il reçoit les communications des éditeurs de logiciels antivirus.

    Une attaque contre Windows XP permet à un programme malveillant pour appareil mobile d’infecter un ordinateur lorsqu’il est connecté à un smartphone ou une tablette. Au début de l’année 2013, nous avons découvert sur Google Play deux applications identiques dont la prétendue fonction était d’éliminer les processus inutiles sur le système d’exploitation Android. En réalité, ces applications servent à télécharger un fichier autorun.inf, un fichier d’icône et un fichier de cheval de Troie win32 que le programme malveillant pour appareil mobile place dans le répertoire racine de la carte SD. Quand un smartphone est connecté en tant que périphérique USB à un ordinateur tournant sous Windows XP, le système lance automatiquement le cheval de Troie (si la fonction de lancement automatique depuis un périphérique externe n’est pas désactivée) et l’infection a lieu. Le cheval de Troie permet aux individus malintentionnés d’administrer l’ordinateur de la victime à distance et d’enregistrer des sons via le microphone. Il faut préciser que cette méthode d’attaque fonctionne uniquement sur Windows XP et avec Android jusque la version 2.2 incluse.

    Les programmes malveillants pour appareils mobiles les plus complets aujourd’hui sont les chevaux de Troie qui visent la source de revenus illicites la plus attrayante : les comptes en banque des utilisateurs.

    Tendances de l’année : programmes malveillants bancaires pour appareils mobiles

    L’année 2013 aura été marquée par une augmentation sensible du nombre de chevaux de Troie bancaires pour Android. Le secteur des programmes malveillants pour appareils mobiles se tourne de plus en plus vers l’obtention d’un revenu efficace : phishing mobile, vol d’informations des cartes de crédit, transfert d’argent depuis une carte bancaire vers un compte de téléphonie mobile, puis vers le porte-monnaie électronique des individus malintentionnés.  Les cybercriminels ont vraiment pris goût à ce moyen illicite de  gagner de l’argent : il existait au début de l’année 67 chevaux de Troie bancaires connus. A la fin de l’année, nous possédions déjà 1321 exemplaires uniques. Les solutions de protection pour appareils mobiles de Kaspersky Lab ont déjoué 2 500 infections par des chevaux de Troie bancaires.

     
    Nombre de chevaux de Troie bancaires dans notre collection

    Les programmes malveillants bancaires pour appareils mobiles peuvent fonctionner avec des chevaux de Troie Win-32. Ces programmes permettent de déjouer l’authentification à deux facteurs grâce au vol du code mTan (code de confirmation des opérations bancaires que les banques envoient par SMS à leurs clients). En 2013, les programmes malveillants bancaires autonomes ont poursuivi leur développement. Pour l’instant, ces chevaux de Troie attaquent les clients d’un nombre restreint de banques, mais on peut s’attendre à ce que les cybercriminels inventent de nouvelles techniques qui leur permettront d’augmenter le nombre de victimes et d’élargir leur champ de bataille.

     
    Carte des tentatives d’infections via des programmes malveillants bancaires

    A l’heure actuelle, la majorité de ces programmes attaque des utilisateurs en Russie et dans les pays de la CEI. Toutefois, la situation va changer vu l’intérêt que portent les individus malintentionnés aux comptes en banque des utilisateurs. Il faut s’attendre en 2014 à une augmentation de l’activité de ces programmes malveillants dans d’autres pays.

    Comme nous l’avons déjà dit, les chevaux de Troie bancaires figurent certainement parmi les menaces pour appareils mobiles les plus complexes. Le cheval de Troie Svpeng en est un exemple frappant.

    Svpeng

    Nous avons découvert le cheval de Troie Trojan-SMS.AndroidOS.Svpeng.a au milieu du mois de juillet. A la différence de ses confrères chevaux de Troie SMS, il vise à voler l’argent non pas sur le compte de téléphonie mobile de la victime, mais sur son compte en banque. Il n’est absolument pas autonome et respecte scrupuleusement les instructions qu’il reçoit du serveur de commande. Le cheval de Troie se propage via des SMS non sollicités et via des sites légitimes compromis qui redirigent les visiteurs vers une ressource malveillante. Une fois sur ce site, le visiteur est invité à télécharger une mise à jour d’Adobe Flash Player qui est en réalité le cheval de Troie.

    Les capacités de Svpeng sont très nombreuses.

    Il collecte les informations relatives au smartphone (IMEI, pays, opérateur de téléphonie, langue du système d’exploitation) et les envoie à son maître via une requête HTTP POST. Il semblerait que cette opération serve à identifier les banques dont la victime pourrait être cliente. Pour l’instant, Svpeng a été identifié dans des attaques contre des clients de quelques banques russes seulement, mais rien n’empêcherait les individus malintentionnés d’étendre leur activité à d’autres pays, après avoir testé la technologie en Russie.

    Il vole les SMS et les informations relatives aux appels vocaux. Ceci permet également à l’individu malintentionné de deviner les banques dans lesquelles le propriétaire du smartphone possède un compte : le cheval de Troie obtient la liste des comptes de son centre de commande.

    Il vole de l’argent sur le compte en banque de la victime. En Russie, certaines grandes banques permettent à leurs clients d’alimenter leur compte de téléphonie mobile via transfert depuis leur carte bancaire. Pour ce faire, le client doit simplement envoyer depuis son smartphone un SMS contenant un texte spécial à un numéro dédié de la banque. Svpeng envoie des SMS aux services SMS de deux de ces banques. Le propriétaire de Svpeng peut ainsi voir si des cartes de ces banques sont associées au numéro du smartphone infecté et si c’est le cas, il pourra obtenir le solde du compte.  Ensuite, l’individu malintentionné peut envoyer à Svpeng une commande de virement depuis le compte en banque vers le compte de téléphonie mobile de la victime. Ensuite, il existe différentes méthodes pour transférer l’argent depuis le compte de téléphonie mobile comme le transfert vers un porte-monnaie électronique via l’espace personnel dans le système de l’opérateur de téléphonie mobile ou plus simplement en envoyant des messages à un numéro surtaxé.

    Il vole le nom d’utilisateur et le mot de passe d’accès au système de transactions bancaires par Internet en substituant la fenêtre de l’application de la banque. Pour l’instant, nous n’avons recensé que des cas de substitution pour des applications de banques russes, mais sur le plan technique, Svpeng peut tout simplement apprendre à reproduire n’importe quelle autre application bancaire.

    Il vole les données des cartes bancaires (numéro, date d’expiration, codes CVC2/CVV2) en prétextant une association de la carte à Google Play. Lors de la tentative de lancement de l’application Play Market, le cheval de Troie intercepte l’événement et place sa fenêtre "Ajouter une carte" (dans la langue du système d’exploitation) devant la véritable fenêtre de Google Play afin que l’utilisateur puisse saisir les données de sa carte. Toutes les données saisies sont envoyées sur le champ à l’individu malintentionné.

     

    Il extorque de l’argent auprès des utilisateurs : Il menace de verrouiller le smartphone en affichant un message qui exige le paiement de 500 USD pour le déblocage. En réalité, le cheval de Troie ne verrouille rien du tout et le téléphone demeure parfaitement opérationnel.

    Il dissimule les traces de son activité en masquant les SMS qu’il envoie et qu’il reçoit et en bloquant les appels et les messages en provenance des numéros de téléphone de la banque. Le cheval de Troie obtient également ces numéros via son centre de commande.

    Il se protège contre la suppression en sollicitant les autorisations d’administrateur de périphérique lors de l’installation. Le bouton de suppression du cheval de Troie dans la liste des applications est désactivé, ce qui peut constituer un problème pour un utilisateur inexpérimenté. Il est impossible de lui retirer ces autorisations sans utiliser des outils spéciaux (comme Kaspersky Internet Security for Android). Svpeng se protège contre la suppression en exploitant une vulnérabilité dans Android jusque là inconnue. Il utilise la même méthode pour tenter de rétablir les paramètres par défaut du smartphone.

    Ce cheval de Troie est répandu en Russie et dans les pays de la CEI. Mais comme nous l’avons écrit ci-dessus, les individus malintentionnés pourraient facilement l’orienter vers les utilisateurs d’autres pays.

    Perkele et Wroba

    Des utilisateurs en dehors de la Russie ont également reçu quelques nouveautés malveillantes qui ciblaient les comptes en banque.

    Le cheval de Troie sous Android Perkele attaque les clients de banques russes et européennes. Ce qui le rend intéressant, c’est ça coopération avec divers chevaux de Troie bancaires win32. Sa mission principale est de déjouer l’authentification à deux facteurs du client dans le système de transactions bancaires en ligne.

    Vu son rôle spécial, Perkele se propage via une méthode inhabituelle. Une fois que le programme malveillant (ZeuS, Citadel) a infecté l’ordinateur de la victime, il insère dans le code de la page d’authentification du service de transactions bancaires en ligne un champ pour la saisie du numéro du smartphone et le type de système d’exploitation. Une fois saisies, toutes les informations arrivent chez l’individu malintentionné et l’écran de l’ordinateur affiche un QR code qui contient un lien vers le prétendu certificat de la banque en ligne. L’utilisateur qui scanne le QR code et installe le composant téléchargé installe en réalité sur son smartphone un cheval de Troie doté d’une fonction très intéressante pour les individus malintentionnés.

    Perkele intercepte le code mTan (code de confirmation des opérations bancaires) que la banque envoie par SMS. Grâce au nom d’utilisateur et au mot de passe volés dans le navigateur, le cheval de Troie Windows initialise une fausse transaction et Perkele intercepte le code mTan envoyé par la banque et le lui transmet (via le serveur de commande). L’argent est retiré du compte de la victime et parvient à l’individu malintentionné sans aucun signe extérieur.

    Le programme malveillant coréen Wroba, outre le vecteur d’infection traditionnel via les services d’échange de fichiers, se propage également via les magasins d’applications alternatifs. Une fois qu’il a infecté l’appareil, Wroba adopte un comportement pour le moins agressif. Il recherche les applications d’accès aux services bancaires par Internet installées, les supprime et les remplace par des copies. D’apparence, ces applications ressemblent parfaitement aux applications légitimes, mais elles ne remplissent aucune fonction bancaire : elles se contentent de voler les noms d’utilisateur et les mots de passe saisis.

    Top 10 des menaces pour appareils mobiles en 2013

      Nom % de l’ensemble des attaques
    1 DangerousObject.Multi.Generic 40,42%
    2 Trojan-SMS.AndroidOS.OpFake.bo 21,77%
    3 AdWare.AndroidOS.Ganlet.a 12,40%
    4 Trojan-SMS.AndroidOS.FakeInst.a 10,37%
    5 RiskTool.AndroidOS.SMSreg.cw 8,80%
    6 Trojan-SMS.AndroidOS.Agent.u 8,03%
    7 Trojan-SMS.AndroidOS.OpFake.a 5,49%
    8 Trojan.AndroidOS.Plangton.a 5,37%
    9 Trojan.AndroidOS.MTK.a 4,25%
    10 AdWare.AndroidOS.Hamob.a 3,39%

     

    1. DangerousObject.Multi.Generic. Ce verdict indique que nous connaissons déjà le caractère malveillant de l’application, mais notre utilisateur n’a pas encore reçu, pour une raison quelconque, la définition qui permet de la détecter. Dans ce cas, la détection s’opère à l’aide de nos technologies dans le cloud qui permettent à notre logiciel de réagir rapidement aux nouvelles menaces inconnues.

    2. Trojan-SMS.AndroidOS.OpFake.bo. Un des représentants des chevaux de Troie SMS complexes. Il se distingue par son interface attrayante et la cupidité de ses auteurs. L’exécution du cheval de Troie entraîne un retrait sur le compte de téléphonie mobile du propriétaire du téléphone qui peut aller de 9 dollars à l’ensemble du solde disponible. Le numéro de téléphone de la victime risque également d’être discrédité car le cheval de Troie est capable de composer les numéros du répertoire et d’y envoyer des messages aléatoires. Il vise principalement les utilisateurs de Russie et d’autres pays de la CEI.

    3. AdWare.AndroidOS.Ganlet.a. Module publicitaire qui est capable d’installer d’autres applications.

    4. Trojan-SMS.AndroidOS.FakeInst.a.Ce cheval de Troie a évolué au cours des deux dernières années et d’un simple programme d’envoi de SMS, il est devenu un bot à part entière administré via divers canaux (notamment le service Google Cloud Messaging). Il est capable de voler l’argent du compte de l’abonné au service de téléphonie et d’envoyer des messages aux contacts de la victime.

    5. RiskTool.AndroidOS.SMSreg.cw. Module de paiement très répandu en Chine qui est intégré à divers jeux en tant que module permettant de réaliser des achats depuis l’application à l’aide de SMS. Il supprime le SMS de confirmation du système de facturation à l’insu de l’utilisateur.  L’utilisateur ne se rend compte du vol que lorsqu’il décide de vérifier son solde.

    6. Trojan-SMS.AndroidOS.Agent.u. Premier cheval de Troie qui a commencé à exploiter une vulnérabilité dans Android pour obtenir les privilèges d’administrateur de périphérique, ce qui complique énormément son élimination. Il est également capable d’ignorer les appels entrants et de réaliser des appels. L’infection peut se traduire par l’envoi de plusieurs SMS pour un montant total minimum de 9 dollars.

    7. Trojan.AndroidOS.Plangton.a. Module publicitaire qui transmet, sans avertissement, les informations personnelles de l’utilisateur au serveur du commanditaire de la publicité en prétextant une publicité ciblée. Dommages : discrédit du numéro de téléphone mobile, du compte Google et de certaines autres données. De plus, ce cheval de Troie change, à l’insu de l’utilisateur, la page d’accueil du navigateur et ajoute des onglets de publicités.

    8. Trojan-SMS.AndroidOS.OpFake.a Bot multifonctionnel qui contribue à la propagation du programme malveillant complexe pour Android Backdoor.AndroidOS.Obad.a. Ensemble, ils forment une association d’applications pour le moins dangereuse pour les utilisateurs en raison des éléments suivants :

    1. Large éventail de possibilités : vol de données personnelles, envoi de SMS à n’importe quel numéro avec un texte défini. L’installation de cette application peut entraîner la consommation de l’ensemble du solde du compte de téléphonie mobile. Risque pour la réputation du numéro car des SMS seront envoyés aux contacts volés au nom de la victime. Cette liste de contacts sera chargée sur le serveur des individus malintentionnés.
    2. Mécanismes d’auto-défense et de protection contre la suppression extrêmement complexe. En raison de l’exploitation d’une vulnérabilité dans Android, ce cheval de Troie ne peut être supprimé qu’à l’aide d’applications spéciales comme KIS for Android.

    Il convient de signaler que la répartition géographique de Trojan-SMS.AndroidOS.OpFake.a est plus étendue que celle du leader du classement. Nous observons souvent des tentatives d’infection d’appareils non seulement dans les pays de la CEI, mais également en Europe.

    9. Trojan.AndroidOS.MTK.a. Cheval de Troie complexe doté de riches fonctions et de méthodes de chiffrement poussées. Sa fonction principale est le lancement de programmes malveillants téléchargés.

    10. AdWare.AndroidOS.Hamob.a. Logiciel publicitaire qui se propage sous les traits d’applications légitimes (en utilisant un nom et une icône comme WinRAR par exemple). Sa fonction se limite à l’affichage de publicités.

    Comme on peut le voir, le Top 10 compte 4 chevaux de Troie SMS, mais une part importante de ces chevaux de Troie possède des mécanismes d’administration, ce qui transforment les appareils infectés en bots.

    Répartition géographique des menaces

     
    Carte des tentatives d’infections par des programmes malveillants pour appareils mobiles
    (pourcentage de l’ensemble des utilisateurs uniques attaqués)

    Top 10 des pays selon le nombre d’utilisateurs uniques attaqués :

      Pays % de l’ensemble des utilisateurs attaqués
    1 Russie 40,34%
    2 Inde 7,90%
    3 Viet Nam 3,96%
    4 Ukraine 3,84%
    5 Royaume-Uni 3,42%
    6 Allemagne 3,20%
    7 Kazakhstan 2,88%
    8 États-Unis 2,13%
    9 Malaisie 2,12%
    10 Iran 2,01%

    Il existe des caractéristiques régionales dans la répartition des menaces pour appareils mobiles. Les individus malintentionnés utilisent différentes catégories de programmes malveillants pour appareils mobiles en fonction des régions et des pays. Voici quelques exemples de pays de régions différentes.

    Russie

    Les individus malintentionnés qui ciblent les appareils mobiles sont particulièrement actifs en Russie : 40,3 % de l’ensemble des utilisateurs attaqués en 2013 se trouvaient sur le territoire de ce pays.

    Top 5 des familles de programmes malveillants pour appareils mobiles diffusées en Russie :

    Famille % d’utilisateurs uniques attaqués
    Trojan-SMS.AndroidOS.OpFake 40,19%
    Trojan-SMS.AndroidOS.FakeInst 28,57%
    Trojan-SMS.AndroidOS.Agent 27,11%
    DangerousObject.Multi.Generic 25,30%
    Trojan-SMS.AndroidOS.Stealer 15,98%

    Il y a un an, la Russie occupait la première position au niveau du nombre de tentatives d’infections à l’aide de chevaux de Troie SMS et pour l’instant, rien ne laisse prévoir un changement de situation. Comme nous l’avons déjà dit, les utilisateurs en Russie sont victimes de la majorité des chevaux de Troie bancaires pour appareils mobiles.

    La Russie et les pays de la CEI constituent en quelque sorte un espace pour l’essai de nouvelles technologies : une fois que la technologie a été peaufinée dans l’Internet russophone, les individus malintentionnés commencent à l’utiliser dans le cadre d’attaques contre les utilisateurs d’autres pays.

    Allemagne

    L’Allemagne figure parmi les pays d’Europe de l’Ouest où l’on trouve des chevaux de Troie SMS.  En 2013, les auteurs de virus russes ont visé l’Europe car le système qui consiste à blanchir l’argent via l’envoi de SMS à des numéros surtaxés fonctionne dans cette région. Nous avons observé en Allemagne de nombreuses tentatives d’infection par chevaux de Troie SMS, notamment des programmes de la famille Agent.

    De plus, les chevaux de Troie bancaires pour appareils mobiles sont énormément utilisés dans ce pays : l’Allemagne occupe la première position en Europe de l’Ouest dans le classement du nombre d’utilisateurs uniques attaqués (6e position dans le classement mondial).

    Top 5 des familles de programmes malveillants pour appareils mobiles diffusées en Allemagne :

    Famille % d’utilisateurs uniques attaqués
    RiskTool.AndroidOS.SMSreg 25,88%
    DangerousObject.Multi.Generic 20,83%
    Trojan-SMS.AndroidOS.Agent 9,25%
    Trojan.AndroidOS.MTK 8,58%
    AdWare.AndroidOS.Ganlet 5,92%

    États-Unis

    Le contexte américain est différent. Il est impossible dans ce pays de gagner de l’argent via SMS et pour cette raison la catégorie de programmes malveillants Chevaux de Troie SMS n’est pas très présente. La tête du classement est occupée par les bots qui collectent les données sur les smartphones infectés.

    Top 5 des familles de programmes malveillants pour appareils mobiles diffusées aux Etats-Unis :

    Famille % d’utilisateurs uniques attaqués
    DangerousObject.Multi.Generic 19,75%
    RiskTool.AndroidOS.SMSreg 19,24%
    Monitor.AndroidOS.Walien 11,24%
    Backdoor.AndroidOS.GinMaster 8,05%
    AdWare.AndroidOS.Ganlet 7,29%

    Chine

    On trouve en Chine beaucoup de modules publicitaires intégrés à des applications légitimes, voire dans des programmes malveillants. Les fonctions de ces modules sont très larges et peuvent inclure le téléchargement de programmes malveillants sur le téléphone de la victime. Les chevaux de Troie SMS et les portes dérobées constituent d’autres caractéristiques de la Chine.

    Top 5 des familles de programmes malveillants pour appareils mobiles diffusées en Chine :

    Famille % d’utilisateurs uniques attaqués
    RiskTool.AndroidOS.SMSreg 46,43%
    AdWare.AndroidOS.Dowgin 19,18%
    DangerousObject.Multi.Generic 13,89%
    Trojan-SMS.AndroidOS.Agent 10,55%
    Trojan.AndroidOS.MTK 10,13%

    Conclusion

    Les programmes malveillants qui attaquent les comptes en banque des utilisateurs d’appareils mobiles se développent et leur nombre augmente en continu. Tout indique que cette tendance va se maintenir : le nombre de programmes malveillants bancaires ne va cesser d’augmenter, ils vont intégrer de nouvelles technologies de lutte contre la détection et la suppression.

    Les bots dominent parmi les programmes malveillants pour appareils mobiles découverts en 2013.  Les individus malintentionnés ont parfaitement compris l’avantage des réseaux de zombies composés d’appareils mobiles pour gagner de l’argent. Il est possible que de nouveaux mécanismes d’administration des réseaux de zombies d’appareils mobiles apparaissent.

    Nous nous attendons à ce que l’année 2014 soit riche en exploitations d’un autre type de vulnérabilités qui permet d’enraciner le programme malveillant dans l’appareil et qui complique sa suppression.

    Nous avons recensé en 2013 le premier cas d’attaque contre un ordinateur depuis un appareils mobile. Il ne faut pas exclure à l’avenir les attaques via Wi-Fi depuis des appareils mobiles vers les postes de travail et autres éléments auxquels ils seraient connectés.

    Il est plus que probable que les chevaux de Troie SMS maintiennent leur position dominante parmi les programmes malveillants pour appareils nomades et qu’ils vont partir à la conquête de nouveaux territoires.

    Posts similaires

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *