Cybermenaces financières en 2013. 2e partie : programmes malveillants

  1. Cyber-menaces financières en 2013. 1ère partie : phishing
  2. Cybermenaces financières en 2013. 2e partie : programmes malveillants

Principales conclusions

D’après les données envoyées par les sous-systèmes de protection des produits de Kaspersky Lab, le nombre d’attaques à caractère financier, qu’il s’agisse de phishing ou d’attaques à l’aide d’un programme malveillant, a considérablement augmenté en 2013.

Voici les chiffres obtenus pour la période couverte par notre étude :

Programmes malveillants pour PC

  • Le nombre de cyberattaques impliquant des programmes malveillants conçus pour voler des données financières a augmenté de 27,6 % en 2013 et a atteint le nombre de 28,4 millions. 3,8 millions d’individus ont été attaqués, soit une hausse de 18,6 % en un an.
  • La part d’utilisateurs confrontés à des attaques financières impliquant un programme malveillant a représenté en 2013 6,2 % de l’ensemble des utilisateurs attaqués. Par rapport à 2012, cet indice a augmenté de 1,3 point.
  • Parmi les programmes malveillants à caractère financier, ce sont surtout les outils en rapport avec les Bitcoins qui se sont le plus développés. Toutefois, ce sont les programmes malveillants développés pour voler de l’argent sur les comptes en banque, comme le programme ZeuS par exemple, qui jouent toujours le rôle le plus important.

Programmes malveillants pour appareils nomades

  • Le nombre de programmes malveillants sous Android destinés à voler les données financières repris dans les collections de Kaspersky Lab a été multiplié par 5 au cours du 2e semestre 2013. Il est en effet passé de 265 exemplaires en juin à 1 321 en décembre.
  • En 2013, les experts de Kaspersky Lab ont détecté pour la première fois des chevaux de Troie pour Android capables de voler de l’argent sur les comptes des utilisateurs attaqués.

Programmes malveillants financiers

Les programmes développés pour le vol d’argent électronique et d’informations financières figurent parmi les plus complexes. Ils permettent aux cybercriminels de convertir rapidement leurs efforts en argent et c’est la raison pour laquelle les individus malintentionnés investissent tous leurs moyens et leurs efforts dans la création de chevaux de Troie et de portes dérobées à orientation financière. D’après les observations des experts de Kaspersky Lab, les auteurs de programmes malveillants sont prêts à payer des dizaines de milliers de dollars pour obtenir les informations relatives aux nouvelles vulnérabilités dans le simple but de contourner les solutions de protection et de devancer les autres cybercriminels.

En 2013, les solutions de Kaspersky Lab ont repoussé 28,4 millions d’attaques organisées à l’aide de programmes malveillants financiers, soit une augmentation de 27,6 % par rapport à l’année antérieure. Le nombre d’utilisateurs victimes de ces attaques a également augmenté de 18,6 % pour atteindre 3,8 millions de personnes. Cette étude tient compte des données relatives aux attaques organisées à l’aide de chevaux de Troie bancaires, d’enregistreurs de frappes, de programmes de vol de porte-monnaie électroniques de Bitcoin et de téléchargement de programmes de minage de cette devise virtuelle.
La part des programmes de vol et d’escroquerie dans l’ensemble des attaques est relativement faible. Ils n’ont été impliqués que dans 0,44 % des attaques en 2013, soit une progression de 0,12 point par rapport à l’année antérieure. Au niveau des utilisateurs, la part des cybermenaces financières est plus importante : parmi les personnes exposées à des attaques de programmes malveillants de tout type l’année dernière, 6,2 % ont été confronté à une forme ou l’autre de programmes financiers dangereux. Par rapport à 2012, cet indice a augmenté de 1,3 point.

Utilisateurs attaqués en 2013

En 2013, les programmes malveillants à caractère financier ont touché 6,2 % de l’ensemble des victimes de programmes malveillants.

Il existe un faible rapport entre le nombre d’attaques et la quantité d’utilisateurs attaqués. Au cours de la période 2012-2013, le nombre mensuel d’attaques a changé d’une dizaine de pour cent. Au printemps 2012, ce nombre a enregistré une chute importante et n’a retrouvé son niveau antérieur qu’à l’automne 2012. Toutefois, le nombre d’utilisateurs attaqués n’a pas connu de variations aussi marquées et il a affiché chaque mois une dynamique positive.

Programmes malveillants financiers : attaques et utilisateurs attaqués en 2012-2013

Le nombre d’utilisateurs attaqués par des programmes malveillants financiers a augmenté au cours de l’année 2013.

La réduction du nombre d’attaques au printemps 2012 peut s’expliquer par l’arrêt de l’activité de quelques groupes de cybercriminels. De son côté, l’explosion des attaques au deuxième semestre 2013 peut s’expliquer par plusieurs facteurs : les individus malintentionnés ont découvert de nouvelles vulnérabilités dangereuses dans l’application Oracle Java, ce qui a permis d’augmenter le nombre d’attaques. De même, la hausse du cours du bitcoin vers la fin de l’année a activé les programmes qui volent le contenu des porte-monnaie électroniques de cette cryptodevise.

Frontières des menaces : géographie des attaques et des utilisateurs attaqués

Parmi les pays les plus exposés aux attaques de programmes malveillants financiers en 2012-2013, la Russie arrive en première position avec 37 % des attaques. Aucun autre pays ne dépasse pas la barre des dix pour cent au cours de la période étudiée.

Pays les plus souvent attaqués en 2012-2013

Le Top 10 des pays concentrent environ 70 % de l’ensemble des attaques financières sur deux ans.

La Russie domine également le classement de la croissance des attaques en un an. Toutefois, le nombre d’utilisateurs attaqués dans le pays au cours de l’année 2013 a quelque peu diminué, alors qu’on observe une hausse dans la majorité des autres pays du Top 10.

Géographie des attaques menées à l’aide de programmes malveillants financiers

Géographie des utilisateurs attaqués à l’aide de programmes malveillants financiers

Le nombre d’utilisateurs attaqués à l’aide de programmes malveillants financiers au cours de l’année a augmenté dans 8 pays du Top 10 des pays les plus souvent attaqués

Les utilisateurs en Russie courraient le plus grand risque de devenir les victimes d’attaques financières. En 2013, chaque utilisateur cible des cybercriminels financiers aura été attaqué en moyenne 14,5 fois. Parmi les habitants des Etats-Unis, cet indice dépassait à peine 8.




































































Pays Nombre d’attaques organisées à l’aide de programmes malveillants financiers Dynamique sur un an Nombre d’attaques en moyenne par utilisateur
Fédération de Russie 11 474 000+ 55,28% 14,47
Turquie 899 000+ 156,41% 9,22
États-Unis 1 529 000+ -22,76% 8,08
Viet Nam 1 473 000+ 65,08% 6,43
Kazakhstan 517 000+ -26,88% 6,15
Italie 593 000+ -32,05% 5,61
Inde 1 600 000+ 65,03% 4,47
Ukraine 401 000+ -7,54% 4,07
Allemagne 747 000+ -0,73% 3,9
Brésil 553 000+ -21,02% 3,87

Moyenne des attaques subies par chaque habitant du pays devenu la cible de programmes malveillants financiers en 2013

Parmi les pays qui mènent le classement des cyberattaques sous la forme de menaces financières, on retrouvait surtout la Turquie et le Brésil. La part des utilisateurs exposés à des attaques financières dans ces pays représentait respectivement 12 et 10,5 % du total des utilisateurs confrontés à des programmes malveillants en 2013. En Russie, cet indice a légèrement dépassé les 6 %, tandis qu’aux Etats-Unis seule une personne attaquée sur 30 était confrontée à une forme ou l’autre de cybermenace financière.




































































Pays Utilisateurs attaqués par des programmes malveillants financiers Dynamique sur un an % des utilisateurs attaqués par n’importe quel type de programme malveillant
Turquie 97 000+ 37,05% 12,01%
Brésil 143 000+ 29,28% 10,48%
Kazakhstan 84 000+ 5,11% 8,46%
Italie 105 000+ 20,49% 8,39%
Viet Nam 229 000+ 31,77% 7,4%
Inde 358 000+ 59,1% 6,79%
Fédération de Russie 792 000+ -4,99% 6,16%
Ukraine 98 000+ 22,73% 6,08%
Allemagne 191 000+ 43,22% 5,52%
États-Unis 189 000+ 22,30% 3,1%

Utilisateurs attaqués par des programmes malveillants financiers en 2013 et leur part parmi les habitants des pays confrontés à des programmes malveillants quelconque

Si l’on place ces données sur une carte du monde, on voit que la part des attaques financière est relativement faible en Chine, aux Etats-Unis, au Canada et dans de nombreux pays européens. Les pays leaders selon cet indice sont répartis à travers le monde et on notera la présence de la Mongolie, du Cameroun, de la Turquie et du Pérou.

Pourcentage des utilisateurs confrontés à des programmes malveillants financiers par rapport au total des utilisateurs attaqués par des programmes malveillants 2013

Connaître son ennemi : espèces de programmes malveillants financiers

Pour comprendre quels étaient les programmes malveillants ciblant les actifs financiers des utilisateurs qui ont défini le paysage des menaces l’année dernière, les experts de Kaspersky Lab ont réparti les instruments des cybercriminels en différentes catégories. Dans le cadre de cette étude, plus de trente exemplaires de programmes malveillants parmi les plus connus utilisés dans le cadre d’attaques financières ont été sélectionnés. Cette sélection a ensuite été scindée en quatre groupes sur la base des fonctions des programmes et de leurs cibles : banker, enregistreurs de frappes, outils pour le vol du contenu de porte-monnaie de bitcoins et installateur de programmes de minage de bitcoins.

Le groupe banker est le plus nombreux. Il reprend les chevaux de Troie et les portes dérobées pour le vol d’argent depuis des comptes ou pour le vol des informations permettant de réaliser ces vols. Parmi les programmes malveillants de ce groupe, il y a Zbot, Carberp et SpyEye.

Attaques à l’aide de programmes malveillants en 2013

Les représentants de la deuxième catégorie (enregistreurs de frappes) visent à voler les informations confidentielles, notamment les informations à caractère financier. Souvent, les chevaux de Troie bancaires offrent des fonctions similaires et la popularité des enregistreurs de frappe en tant qu’outil indépendant diminue. KeyLogger et Ardamax figurent parmi les programmes les plus populaires de cette catégorie.

Les deux types restant de programmes malveillants sont en rapport avec la cryptodevise bitcoin, devenue ces derniers temps une proie de choix pour les escrocs financiers. Il peut s’agir de programmes qui volent le contenu des porte-monnaie de bitcoins ou de programmes qui installent des programmes de minage de bitcoins sur les ordinateurs infectés à l’insu de leur propriétaire.

Le premier type reprend les programmes malveillants qui volent le fichier porte-monnaie contenant les informations relatives aux bitcoins qui appartiennent à l’utilisateur. Le deuxième type est un peu plus compliqué à classer : l’installation de programmes de minage de bitcoins peut être réalisée par presque n’importe quel type de programme malveillant capable de télécharger sur l’ordinateur de nouveaux programmes à l’insu de l’utilisateur. C’est la raison pour laquelle cette étude s’est intéressée uniquement aux exemplaires de programmes malveillants qui ont été remarqués à plusieurs reprises dans le téléchargement et l’exécution masquée d’outils de minage de bitcoins.

Il faut reconnaître que cette séparation n’est pas vraiment précise. Par exemple, le même enregistreur de frappe peut être utilisé pour obtenir des informations financières et pour voler les données d’accès à des comptes de jeux en ligne. Mais en général, les programmes malveillants ont toujours une « spécialisation » qui détermine la nature de l’infraction commise, ce qui permet de les associer à un type en particulier de cybercrime, de nature financière dans ce cas ci.

Attaques de programmes malveillants bancaires

Parmi les menaces financières de 2013, les programmes de la catégorie banker ont joué un rôle de premier plan. Il s’agit de ces programmes malveillants développés pour voler l’argent sur les comptes des utilisateurs. Ils ont été impliqués dans 19 millions de cyberattaques en un an, ce qui représente deux tiers de l’ensemble des attaques financières organisées à l’aide de programmes malveillants.

A la fin de l’année 2013, la part globale des utilisateurs attaqués chaque mois par des programmes de vol de bitcoins et de téléchargement de programmes de minage de bitcoins a presque atteint celle des programmes malveillants de type banker.

Le programme malveillant de type banker le plus actif tant au niveau du nombre d’attaques qu’au niveau du nombre d’utilisateurs attaqués aura été le cheval de Troie Zbot (Zeus). Le nombre d’attaques imputables à ses modifications a plus que doublé en un an et le nombre d’utilisateurs qu’il a attaqué au cours de l’année dernière a dépassé les indices des autres programmes malveillants de type banker du Top 10 mis ensemble.

Zbot, 2012-2013

En 2011, le code source de Zbot a été rendu public et il a été utilisé, et l’est encore, pour créer de nouvelles versions du programme malveillant, ce qui exerce un impact sur les statistiques des attaques. C’est également sur la base de Zbot que la plateforme Citadel a été développée. Il s’agit d’une des tentatives d’adaptation des principes des applications commerciales au milieu de la création de programmes malveillants. Les utilisateurs de Citadel pouvaient non seulement acheter le cheval de Troie, mais également l’assistance technique et les mises à jour qui permettaient de dissimuler le programme aux yeux des solutions antivirus. Les ressources Internet de Citadel abritaient également les échanges entre les pirates qui pouvaient donner des indices sur l’introduction de nouvelles fonctions. Au début du mois de juin 2013, la société Microsoft a annoncé avec le FBI que plusieurs réseaux de zombies importants de Citadel avaient été mis hors service, ce qui fut une victoire importante dans la lutte contre la cybercriminalité. Toutefois, les statistiques de Kaspersky Lab montrent que cet événement n’a pas vraiment eu d’impact sur la diffusion des programmes malveillants développés pour voler des données financières.

La chute marquée dans le niveau d’attaques du cheval de Troie Qhost peut s’expliquer par l’arrestation de ses auteurs. Ils avaient volé près de 400 000 dollars sur les comptes de clients d’une grande banque russe en 2011. Les auteurs du programme malveillant furent jugés en 2012, mais cela n’a pas gêné la poursuite de la diffusion de la menace. La simplicité relative de la configuration et de l’utilisation de ce programme malveillant attire de nouveaux individus malintentionnés.

Qhost, 2012-2013

La part d’attaques imputables au cheval de Troie Carberp a chuté au cours du premier semestre de l’année 2013 suite à l’arrestation au printemps des utilisateurs du cheval de Troie parmi lesquels se trouvaient également les créateurs présumés. Toutefois, Carberp a repris sa croissance en été, ce qui a permis à ce programme malveillant de terminer l’année 2013 au même niveau que l’année 2012. Ceci s’explique par la publication du code source du programme malveillant dans le domaine public qui a entraîné la création de nouvelles versions du cheval de Troie. Ceci étant dit, le nombre d’utilisateurs attaqués par des modifications de ce programme malveillant a chuté au cours de l’année.

Carberp, 2012-2013

La tendance globale est évidente : après l’accalmie relative du deuxième semestre 2012, les escrocs à l’origine d’attaques impliquant des programmes malveillants financiers, se sont activés en 2013. Il suffit de voir l’augmentation du nombre d’attaques et d’utilisateurs attaqués.

Nombre d’attaques impliquant des programmes malveillants de type bancaire, 2012-2013

* Trojan-Banker est un enregistrement universel dans les bases de données de Kaspersky Lab qui utilise des règles heuristiques pour détecter les programmes malveillants financiers

Bitcoin : argent de Monopoly ?

Le bitcoin est une cryptodevise qui n’est réglementée par aucun Etat et qui repose uniquement sur les personnes qui l’utilisent. Le lancement du réseau distribué qui permet le fonctionnement de Bitcoin remonte à 2009. Au début, cette devise était utilisée par des personnes proches du secteur des technologies de l’information, mais peu a peu sa popularité s’est agrandie. La popularisation de la devise a permis de l’utiliser comme mode de paiement sur certains sites importants spécialisés dans la vente d’articles illégaux. Ses sites étaient attirés par l’anonymat offert par les bitcoins.

Version d’une présentation d’un porte-monnaie de bitcoins sur papier

En théorie, toute personne qui le souhaite peut obtenir des bitcoins en utilisant la puissance de calcul de son ordinateur : c’est ce qu’on appelle le minage. Ce minage consiste à résoudre une série de tâches cryptographiques qui garantit le fonctionnement du réseau Bitcoin.

Bon nombre des « fortunes » en bitcoins ont été amassées alors que la devise en était à ses débuts, quand elle n’était pas encore acceptée comme mode de paiement en liquide. Toutefois, au fur et à mesure que la cryptodevise a gagné en popularité, il est devenu de plus en plus difficile d’obtenir des bitcoins grâce à la puissance de l’ordinateur. Il s’agit là d’une des particularités du système au même titre que le volume fini des moyens financiers mis en circulation. A l’heure actuelle, la complexité des calculs est telle que le minage de bitcoins sur les ordinateurs traditionnels n’est plus rentables : le revenu potentiel couvre à peine les frais d’électricité.

Au début de l’année 2013, le cours du bitcoin était fixé à 13,6 dollars et au mois de décembre, il atteignait son niveau historique à plus de 1 200 dollars

Tout au long de l’année, le cours du bitcoin a connu une folle croissance et a dépassé 1 200 dollars à la fin du mois de décembre. Le cours a ensuite commencé à chuter, notamment en raison de la méfiance des banques centrales de plusieurs pays par rapport à cette devise. Ainsi, l’interdiction imposée par la Banque populaire de Chine sur les bourses de bitcoins a fait perdre à cette devise près d’un tiers de sa valeur. Parallèlement à cela, d’autres pays ont une attitude positive par rapport aux bitcoins. Ainsi, le ministère des Finances d’Allemagne a reconnu officiellement la cryptodevise comme mode de paiement tandis qu’il existe au Canada et aux Etats-Unis des distributeurs automatiques de billets qui permettent d’échanger des bitcoins.

Bref, de phénomène « local » soutenu par quelques enthousiastes, le bitcoin est devenu en quelques années un bien virtuel qui a une valeur réelle et qui a connu une hausse marquée. Il va de soi que les individus malintentionnés ne pouvaient pas ne pas prêter attention à ce phénomène. A partir du moment où le bitcoin a commencé à être échangé sur des bourses Internet pour de l’argent réel et que de plus en plus de vendeurs ont commencé à accepter cette devise comme mode de paiement, les cybercriminels s’y sont de plus en plus intéressés.

Les bitcoins sont conservés sur l’ordinateur dans un fichier porte-monnaie spécial (wallet.dat ou autre en fonction de l’application utilisée). Si ce fichier n’est pas crypté et qu’un individu malintentionné parvient à le voler, rien ne l’empêche de transférer le contenu du compte vers son propre porte-monnaie. Le réseau Bitcoin permet à n’importe lequel de ses participants de consulter l’historique des opérations réalisées par n’importe quel utilisateur. Autrement dit, il est possible d’identifier le porte-monnaie électronique dans lequel l’argent volé a été versé. Mais vu que le Bitcoin n’est réglementé par personne, il est inutile de penser à déposer une plainte pour vol.

Outre le vol de Bitcoins, les cybercriminels peuvent utiliser les ordinateurs de leurs victimes pour le minage, à l’instar de ce qui se passe dans le cadre des diffusions de courrier indésirable ou d’autres activités malveillantes. Il existe également des programmes de chantage qui exigent un paiement en bitcoins pour décrypter les données de la victime.

Le diagramme suivant illustre la dynamique des attaques impliquant des outils malveillants de vol de porte-monnaie de bitcoins ou des programmes malveillants à plusieurs fonctions spécialisés dans l’installation d’outils de minage. Il y a également déjà eu des cas de détection sur un ordinateur d’applications de minage de bitcoins : elles peuvent être installées par l’utilisateur ou à l’insu de ce dernier. Les solutions de Kaspersky Lab placent les applications de minage dans la catégorie RiskTool. Cela signifie que l’application en question contient une fonction qui présente un danger potentiel et l’utilisateur est prévenu.

Comme on peut le voir sur le graphique, le nombre de déclenchements des produits de Kaspersky Lab provoqués par des programmes de vol de bitcoins et des applications de minage de bitcoins a commencé à augmenter au deuxième semestre 2012. La dynamique est devenue encore plus intéressante en 2013. Par exemple, un des pics de déclenchements des produits de Kaspersky Lab provoqué par des programmes malveillants liés aux bitcoins a été enregistré au mois d’avril. A cette époque, le cours du Bitcoin était supérieur à 230 dollars. Il est évident que la hausse du cours aurait pu inciter les individus malintentionnés à s’activer dans la diffusion de programmes malveillants conçus pour le vol et le minage de bitcoins.

Mais en avril, le cours de la devise s’est effondré jusqu’à 83 dollars. Il s’est ensuite repris pour atteindre 149 dollars à la fin du mois d’avril et il s’est stabilisé en mai. De mai à août, le cours du Bitcoin s’est maintenu dans la fourchette des 90 à 100 dollars et en août, il est reparti à la hausse. L’activité des programmes malveillants a suivi de loin cette évolution, mais il n’est pas exclu que ce soit précisément la stabilisation du cours du bitcoin qui a entraîné un nouveau pic d’attaques en août. Une autre hausse marquée du nombre d’attaques aura été enregistrée en décembre. Au cours de ce mois, le cours du Bitcoin s’est d’abord effondré, passant de 1 000 à 584 dollars, puis il a connu une hausse sensible pour atteindre 804 dollars à la fin du mois.

Le nombre de déclenchements des produits de Kaspersky Lab provoqués par des applications de minage de Bitcoin a également connu une augmentation stable depuis avril. Cette hausse s’est maintenue jusqu’au mois d’octobre et à partir de novembre, ce nombre de déclenchements a chuté.

Sur l’ensemble de l’année 2013, le nombre de déclenchements des produits de Kaspersky Lab et le nombre d’utilisateurs confrontés à des programmes malveillants ou à des programmes malveillants potentiels liés aux bitcoins a augmenté plusieurs fois par rapport à 2012. Il est intéressant de constater qu’à partir d’octobre 2013, le nombre de déclenchements provoqués par des programmes malveillants qui installent des applications de minage de bitcoins a commencé à chuter tandis que le nombre de déclenchements provoqués par des programmes qui volaient les porte-monnaie a quant à lui augmenté. Ceci est peut-être du à une des caractéristiques de la devise citées ci-dessus : plus le nombre de « pièces » créées dans le système augmente, plus il devient difficile d’en créer. Cela a peut-être poussé les individus malintentionnés à concentrer leurs recherches sur le vol de porte-monnaie contenant déjà des bitcoins.

Les programmes malveillants développés pour voler des informations financières figurent parmi les programmes malveillants les plus terribles. L’ampleur du danger augmente, notamment, à cause du volume imposant de victimes potentielles d’attaques organisées à l’aide de tels programmes : en réalité, presque tout détenteur d’une carte de crédit qui accède à Internet depuis un ordinateur à la protection médiocre peut devenir la victime des individus malintentionnés. Toutefois, les ordinateurs de bureau et les ordinateurs portables ne sont pas les seuls périphériques utilisés dans le cadre de la réalisation de transactions financières. Presque tout le monde possède un smartphone ou une tablette. Et pour les individus malintentionnés, ces périphériques constituent une voie d’accès supplémentaire aux services financiers des utilisateurs.

Menaces bancaires pour les appareils nomades

Les appareils nomades sont réstés pendant longtemps un territoire inexploré par les cybercriminels. Cela s’expliquait avant tout par le nombre réduit de fonctions des appareils nomades de première génération et par la complexité de la création d’applications pour ceux-ci. Mais l’émergence des smartphones et des tablettes, riches en fonction, dotés d’une connexion à Internet et pour lesquels des applications peuvent être mises au point à l’aide d’outils de développement accessibles au public, a complètement changé la situation. Cela fait quelques années que les experts de Kaspersky Lab enregistrent chaque année une augmentation du nombre de programmes malveillants visant les appareils nomades. Et principalement les appareils tournant sous Android.

En 2013, Android est devenu la cible principale des attaques malveillantes. 98,1 % de l’ensemble des programmes malveillants pour appareils nomades détectés en 2013 étaient destinés à cette plateforme, ce qui témoigne à la fois de la popularité de ce système d’exploitation et de la vulnérabilité de son architecture.

Programmes malveillants pour appareils nomades en 2013

Et la majorité des programmes malveillants pour appareils nomades vise à voler l’argent des utilisateurs. C’est le cas des chevaux de Troie SMS, de nombreuses portes dérobées et d’une partie des programmes malveillants de la catégorie Cheval de Troie. Une des tendances les plus dangereuses observées en 2013 dans le domaine des programmes malveillants pour appareils nomades fut l’augmentation du nombre de programmes développés pour voler les informations d’authentification des systèmes de transactions bancaires en ligne et pour voler l’argent.

Nombre d’échantillons de programmes malveillants bancaires pour appareils nomades dans la collection de Kaspersky Lab en 2013

Le nombre de ces programmes malveillants a connu une croissance active à partir de juin et en décembre, on comptait plus de 1 300 exemplaires uniques. Au cours de la même période, le nombre d’attaques bloquées par les produits de Kaspersky Lab a commencé à augmenter également.

Attaques organisées à l’aide de programmes malveillants bancaires pour appareils nomades au 2e semestre 2013

Les programmes malveillants pour appareils nomades qui visent les utilisateurs de système de transactions bancaires par Internet ne sont pas une nouveauté. Par exemple, ZitMo (le « frère » nomade du célèbre cheval de Troie bancaire Win 32 ZeuS) est connu depuis 2010, mais il n’était pas impliqué dans des attaques massives, notamment à cause de sa fonction spécifique : ZitMo pouvait fonctionner uniquement avec la version pour ordinateurs de bureau ZeuS. Le compère volait le nom d’utilisateur et le mot de passe d’accès au compte en ligne de la victime tandis que ZitMo interceptait les mots de passe à usage unique de confirmation des transactions dans le système de transactions bancaires par Internet et les transmettait aux individus malintentionnés qui utilisaient les données obtenues pour voler l’argent.

Ce type d’escroquerie a été observé en 2013. A ce moment, les « petits frères » pour les appareils mobiles étaient devenus de véritables concurrents pour ZeuS : SpyEye (SpitMo) et Carberp (CitMo). Toutefois, ils n’ont pas été impliqués dans un nombre d’attaques significatif. Cela s’explique peut-être par l’existence sur le marché noir des cybermenaces de chevaux de Troie plus autonomes capables de fonctionner sans le partenaire pour ordinateurs de bureau.

Svpeng est un exemple de ce genre de programme malveillant. Il a été découvert par les experts de Kaspersky Lab en juillet 2013. Ce cheval de Troie exploite les particularité de certains systèmes russes de transactions bancaires par appareil nomade qui lui permettent de voler l’argent sur le compte des victimes.

En Russie, certaines grandes banques permettent à leurs clients d’alimenter leur compte de téléphonie mobile via transfert depuis leur carte bancaire. Pour ce faire, le client doit simplement envoyer depuis son smartphone un SMS contenant un texte spécial à un numéro dédié de la banque. Svpeng envoie des SMS aux services SMS de deux de ces banques. Le propriétaire de Svpeng peut ainsi voir si des cartes de ces banques sont associées au numéro du smartphone infecté et si c’est le cas, il pourra obtenir le solde du compte. Ensuite, l’individu malintentionné peut envoyer à Svpeng une commande de virement depuis le compte en banque vers le compte de téléphonie mobile de la victime.

Interface de fausse autorisation de Svpeng

Ensuite, il existe différentes méthodes pour transférer l’argent depuis le compte de téléphonie mobile comme le transfert vers un porte-monnaie électronique via l’espace personnel dans le système de l’opérateur de téléphonie mobile ou plus simplement en envoyant des messages à un numéro surtaxé. Svpeng possède également des fonctions de vol des informations d’authentification sur des systèmes de transactions bancaires par Internet.

Voici deux autres exemples de chevaux de Troie de type banker dangereux détectés par les experts de Kaspersky Lab : Perkele et Wroba. Le premier ressemble à ZitMo. Sa principale fonction consiste à intercepter les mots de passe uniques de confirmation des transactions. Le deuxième, quant à lui, recherche sur l’appareil mobile les applications pour réaliser des transactions bancaires en ligne, les supprime et télécharge de fausses copies qui récoltent les informations d’identification et les envoient aux individus malintentionnés.

La majorité des attaques réalisées à l’aide de chevaux de Troie de type banker en 2013 ont été enregistrées en Russie et dans les pays voisins par Kaspersky Lab. Toutefois, par exemple, Perkele a attaqué des clients non seulement de banques russes, mais également de banques européennes tandis que Wroba visait des utilisateurs en Corée du Sud.

Répartition géographique des attaques menées à l’aide de programmes malveillants bancaires pour Android en 2013

En chiffres absolus, l’ampleur des attaques menées à l’aide de programmes malveillants financiers contre les utilisateurs d’appareils mobiles et décelées par les solutions de Kaspersky Lab est relativement faible pour l’instant, mais cela fait plus de 18 mois que l’on observe une tendance évidente à la hausse. Cela signifie que les utilisateurs d’appareils mobiles, principalement sous Android, doivent prêter très attention à la sécurité de leurs données financières.

Les utilisateurs d’appareils tournant sous iOS doivent également rester vigilants. Bien qu’il n’existe pas encore de raz-de-marée de programmes destinés à voler les données confidentielles d’utilisateurs d’iPhone et d’iPad, des erreurs permettant de créer de tels programmes sont fréquemment détectées dans le système d’exploitation de ces périphériques. Un des exemples les plus récents, remonte à la fin du mois de février 2014 lorsque des chercheurs ont identifié une faille qui permettait d’identifier les caractères saisis par l’utilisateur à l’aide du clavier virtuel du périphérique. Grâce à cette vulnérabilité, un individu malintentionné pourrait voler, entre autres, le nom d’utilisateur et le mot de passe d’accès au système de transactions bancaires par Internet.

Conclusion : protégez votre porte-monnaie numérique

L’étude a clairement démontré que l’argent électronique des utilisateurs est exposé constamment à des menaces. Que l’utilisateur gère son compte en banque en ligne ou qu’il réalise des achats dans des magasins en ligne, les individus malintentionnés le suivent partout.

Tous les types de menaces financières ont affiché une hausse sensible en 2013. La part des attaques de phishing impliquant des noms de banques a doublé tandis que le nombre d’attaques financières organisées à l’aide de programmes malveillants a augmenté d’un tiers.

Le secteur des programmes malveillants financier n’a pas été marqué par l’apparition de « nouveautés » qui pourraient concurrencer Zbot et Qhost. Ces chevaux de Troie et d’autres biens connus ont été responsables de la majorité des attaques l’année dernière. Toutefois, les individus malintentionnés ont une fois de plus démontré la rapidité à laquelle ils réagissent au changement de conjoncture. La hausse accélérée du nombre d’attaques de vol de bitcoins qui avait débuté à la fin de l’année 2012 s’est poursuivie en 2013.

Les experts de Kaspersky Lab ont formulé les recommandations suivantes pour renforcer la protection contre les menaces financières.

Pour les entreprises

  • C’est aux entreprises qu’il incombe avant tout de garantir la sécurité des utilisateurs. Les sociétés financières doivent présenter à leurs clients les menaces posées par les cyberescrocs et fournir des conseils sur la manière d’éviter des pertes.
  • Les banques et les systèmes de paiement doivent offrir à leurs clients des systèmes de protection avancés contre les individus malintentionnés. La plateforme Kaspersky Fraud Prevention est un exemple de solution qui offre une protection à plusieurs niveaux contre les escrocs.

Pour les particuliers et les utilisateurs de services de transactions bancaires par Internet

  • Les auteurs de programmes malveillants comptent souvent sur les vulnérabilités dans les applications les plus utilisées. C’est pourquoi il convient d’utiliser uniquement les versions les plus récentes des applications et d’installer les mises à jour des systèmes d’exploitation dès qu’elles sont disponibles.
  • Les règles universelles pour une utilisation sûre d’Internet contribuent également à la réduction du risque posé par les attaques financières. Les utilisateurs doivent choisir des mots de passe complexes, uniques pour chaque service. Ils doivent faire preuve de prudence au moment d’utiliser des réseaux Wi-Fi publics et éviter d’enregistrer des informations confidentielles dans le navigateur, etc.
  • Il est indispensable d’utiliser des logiciels fiables de protection contre les programmes malveillants dont l’efficacité a été confirmée par des tests indépendants. De plus, certaines solutions de protection comme Kaspersky Internet Security intègrent des outils qui permettent d’utiliser les services de transactions bancaires par Internet en toute sécurité.
  • Si vous accédez à votre service de transactions bancaires par Internet ou à un système de paiement depuis votre smartphone ou votre tablette ou si vous utilisez ces périphériques pour réaliser des achats en ligne, pensez à adopter une solution de protection fiable telle que Kaspersky Internet Security for Android qui offre des outils avancés de protection contre les programmes malveillants et le phishing et possède des fonctions utiles en cas de perte ou de vol de votre appareil.

Pour les détenteurs de cryptodevises

Dans la mesure où la devise bitcoin et autres phénomènes semblables comme Litecoin, Dogecoin et beaucoup d’autres sont encore jeunes, bon nombre d’utilisateurs ignorent les finesses de l’utilisation de ces systèmes et pour cette raison, les experts de Kaspersky Lab ont rédigé des conseils sur l’utilisation en toute sécurité des cryptodevises.

  • Evitez de conserver vos économies dans des services en ligne et préférez l’utilisation d’applications spéciales qui remplissent le rôle de porte-monnaie.
  • Répartissez vos économies entre plusieurs porte-monnaie. Cela réduira le risque de toute perdre en cas d’attaque contre un de ces porte-monnaie.
  • Placez les porte-monnaie pour le stockage à long terme des cryptodevises sur des supports chiffrés. En guise d’alternative, sachez qu’il existe des porte-monnaie imprimés sur papier.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *