Evolution des menaces informatiques : 3e trimestre 2013

Chiffres du trimestre

  • D’après les données de KSN, au troisième trimestre 2013, les produits de Kaspersky Lab ont détecté et neutralisé 978 628 817  objets malveillants.
  • Les solutions de Kaspersky Lab ont déjoué 500 284 715 attaques organisées depuis divers sites répartis à travers le monde.
  • Nos solutions antivirus ont bloqué 476 856 965  tentatives d’infection locales sur les ordinateurs d’utilisateurs membres du Kaspersky Security Network.
  • 45,2 % des attaques Internet bloquées par nos produits ont été organisées depuis des ressources malveillantes situées aux Etats-Unis et en Russie.

Aperçu

Attaques ciblées / APT

Nouvelles astuces de NetTraveler

Les experts de Kaspersky Lab ont identifié un nouveau vecteur d’attaques pour NetTraveler, une menace persistante avancée qui a déjà infecté des centaines de victime de haut profil dans plus de 40 pays. Parmi les cibles connues de NetTraveler, citons des activistes tibétains et ouïghours, des sociétés pétrolières, des centres de recherche et des instituts scientifiques, des universités, des entreprises privées, des gouvernements et des institutions publiques, des ambassades et des sous-traitants militaires.

Directement après la divulgation des opérations de NetTraveler en juin 2013, les auteurs des attaques ont mis hors ligne tous les centres de commande connus et les ont déplacés vers de nouveaux serveurs en Chine, à Hong Kong et à Taïwan et ils ont poursuivi les attaques comme si de rien n’était.

Au cours des derniers jours, plusieurs messages de harponnage ont été envoyés à des activistes ouïghours. Ce n’est qu’en juin 2013 que le correctif du code d’exploitation Java utilisé pour diffuser cette nouvelle version de Red Star APT a été diffusé et elle a enregistré un taux de réussite plus élevé. Les attaques antérieures ont utilisé des codes d’exploitation Office (CVE-2012-0158) pour lesquels Microsoft a diffusé des correctifs en avril dernier.

Outre les messages d’harponnage, les exploitants de l’APT ont adopté la technique du point d’eau (redirection Internet et attaques par téléchargement à la dérobée depuis des domaines compromis) pour infecter les Internautes. Kaspersky Lab a intercepté et bloqué de nombreuses tentatives d’infection depuis le domaine “weststock[dot]org” connu pour ses liens avec des attaques antérieures de NetTraveler. Ces redirections semblent venir de sites en rapport avec la communauté ouïghoure qui ont été compromis et infectés par les auteurs de l’attaque NetTraveler.

Icefog

Kaspersky Lab a découvert “Icefog”, un groupe APT de taille modeste mais très actif qui vise la Corée du Sud et le Japon et plus précisément les chaînes d’approvisionnement pour les sociétés occidentales. L’opération a débuté en 2011 et elle a pris de l’ampleur au cours des dernières années.  A l’instar de la majorité des autres campagnes APT, l’infection reste active pendant des mois, voire des années et les auteurs de l’attaque volent des données en continu. Les exploitants de Icefog traitent les victimes une à une. Ils recherchent et copient uniquement des informations spécifiques et ciblées. Une fois qu’ils ont trouvé ce qu’ils cherchaient, ils quittent l’ordinateur. Les auteurs de l’attaque s’intéressent aux documents et aux plans de la société, aux informations d’identification des comptes de messagerie et aux mots de passe d’accès à différentes ressources à l’intérieur et à l’extérieur du réseau de la victime. Dans la majorité des cas, les exploitants d’Icefog semblent savoir exactement ce qu’ils recherchent chez les victimes. Ils recherchent des noms de fichiers particuliers qui sont rapidement identifiés et transmis au centre de commande. Sur la base du profil des cibles visées, les auteurs des attaques semblent s’intéresser tout particulièrement aux secteurs suivants : défense, construction navale et exploitation maritime, développement de logiciel et de matériel, opérateurs de téléphonie, opérateurs de satellite, média et télévision.

Les chercheurs de Kaspersky Lab adopté la technique du sinkhole pour prendre les commandes de 13 domaines sur les quelques 70 domaines utilisées par les auteurs de l’attaque. Ils ont pu ainsi obtenir des statistiques sur le nombre de victimes à l’échelle mondiale. De plus, les centres de commande de Icefog conservent des journaux chiffrés sur leurs victimes et les différentes opérations exécutées. Ces journaux permettent parfois d’identifier les cibles des attaques, et dans certains cas, les victimes. Outre le Japon et la Corée du Sud, de nombreuses connexions de type sinkhole ont été observées dans plusieurs autres pays, dont Taïwan, Hong Kong, la Chine, les Etats-Unis, l’Australie, le Canada, le Royaume-Uni, l’Italie, l’Allemagne, l’Autriche, Singapour, la Biélorussie et la Malaisie. Au total, Kaspersky Lab a identifié plus de 4 000 adresses IP infectées et plusieurs centaines de victimes (quelques dizaines de victimes Windows et plus de 350 victimes sur Mac OS X).

Sur la base de la liste des adresses IP utilisées pour surveiller et contrôler l’infrastructure, les experts de Kaspersky Lab supposent que certains des individus à l’origine de cette menace se trouvent dans au moins trois pays : Chine, Corée du Sud et Japon.

Kimsuky

L’équipe de recherche sur les questions de sécurité de Kaspersky Lab a publié en septembre un rapport  qui offre une analyse d’une campagne de cyberespionnage active menée principalement contre des think tanks de Corée du Sud.

Cette campagne, baptisée Kimsuky, est limitée et très ciblée. D’après les analyses techniques, les auteurs des attaques étaient intéressés par 11 organisations établies en Corée du Sud et deux entités en Chine, dont le Sejong Institute, le Korea Institute For Defense Analysis (KIDA), le ministère de la Réunification de Corée du Sud, Hyundai Merchant Marine et les partisans de la réunification coréenne.

Les premiers signes d’activité de cette menace remontent au 3 avril 2013 et les premiers exemplaires du cheval de Troie Kimsuky sont apparus le 5 mai 2013. Ce logiciel espion élémentaire renferme plusieurs erreurs de programmation de base et gère les communications avec les ordinateurs infectés via un serveur de service de messagerie en ligne gratuit bulgare.

Bien que le mode de livraison initial demeure une inconnue, les chercheurs de Kaspersky Lab pense que le programme malveillant Kimsuky est livré via des messages d’harponnage et qu’il est en mesure de remplir les fonctions d’espionnage suivantes : enregistrement des frappes au clavier, collecte de la liste du contenu des répertoires, accès à distance, vol de documents HWP (en rapport avec l’application de traitement de texte de Corée du Sud tirée de la suite Hancom Office, largement utilisée par le gouvernement local). Les auteurs de l’attaque utilisent une version modifiée de l’application d’accès à distance TeamViewer en tant que porte dérobée afin de voler n’importe quel fichier sur l’ordinateur infecté.

Le programme malveillant Kimsuky contient un programme malveillant dédié conçu pour le vol de fichiers HWP, ce qui qui signifie que ces documents sont un des principaux objectifs du groupe.

Sur la base des indices récoltés par les experts de Kaspersky Lab, on peut tracer l’origine du programme à la Corée du Nord. Tout d’abord, les profils des cibles parlent d’eux-mêmes : universités de Corée du Sud impliquées dans des projets d’études sur les affaires étrangères et génératrices de politiques en matière de défense pour le gouvernement, un constructeur naval et des groupes d’appui à la réunification.

Deuxièmement, le programme contient une chaîne de chemin de compilation qui reprend des mots coréens dont certains pourraient être traduits par "attaque" et "fin".

Troisièmement, deux adresses de messagerie auxquelles les bots envoient des rapports sur l’état des opérations et les informations du système infecté en tant que pièce jointe (iop110112@hotmail.com et rsh1213@hotmail.com) sont enregistrées avec les noms "kim" suivants : “kimsukyang” et “Kim asdfa”. Bien que ces données d’enregistrement ne fournissent pas des données concrètes sur les auteurs de l’attaque, les adresses IP source de ceux-ci correspondent au profil : il y a 10 adresses IP d’origine et l’ensemble de celles-ci appartient à la plage d’adresses allouée au réseau de la province de Jilin et de la province de Liaoning en Chine. Les fournisseurs d’accès Internet dans ces provinces fournissent également des lignes vers la Corée du Nord.

Histoires de programmes malveillants

Arrestation de l’auteur du kit d’exploitation Blackhole

Le développeur de Blackhole, connu sous le pseudo de Paunch, et ses partenaires présumés ont été arrêtés en Russie au début du mois d’octobre. Il ne fait aucun doute que le kit d’exploitation Blackhole a connu un grand succès au cours des dernières années. Blackhole est loué aux cybercriminels qui veulent propager des programmes malveillants dans le cadre d’attaques par téléchargement à la dérobée qui est devenu le vecteur d’attaque prédominant de nos jours. Les criminels utilisent des liens malveillants qui mènent à des sites Internet compromis dans le but d’infecter l’ordinateur des victimes et le kit d’exploitation détermine les codes d’exploitation à utiliser en fonction des versions des logiciels installés, par exemple Flash, Java ou Adobe Reader.

Cette arrestation de cybercriminels est considérée comme un des cas les plus retentissants de ces dernières années, après l’arrestation des membres du gang Carberp en mars et en avril de cette année. Alors que dans le cas de Carberp, le code source avait été rendu public par la suite, il est encore trop tôt pour dire si Blackhole va disparaître, s’il va être récupéré par d’autres ou s’il va être remplacé par sa concurrence.

Emergence d’un nouveau réseau de zombies de routeurs

Heise a détecté en septembre un nouveau réseau de zombies composé de routeurs. L’infection de la dorsale de chaque réseau domestique a un impact sur chacun des périphériques qui s’y connecte, qu’il s’agisse de PC, de Mac, de tablettes, de smartphones, voire de votre télévision intelligente. Le bot, baptisé Linux/Flasher.A, extraie toutes les informations d’identification transmises depuis n’importe quel périphérique. L’infection s’opère par le biais d’une vulnérabilité dans le serveur Internet des routeurs qui exécutent DD-WRT, un micrologiciel de routeur open source. Une requête HTTP malformée entraîne l’exécution d’un code arbitraire. Le butin (les informations d’identification) est ensuite transmis aux serveurs Web compromis.

La vulnérabilité exploitée par Flasher.a remonte à 2009 et bien qu’un correctif ait été diffusé, plus de 25 000 périphériques sont toujours exposés estime Heise. Ceci illustre la grande menace que peuvent représenter les routeurs : les utilisateurs actualisent rarement le micrologiciel, ce qui en fait des proies faciles dès que de nouvelles vulnérabilités sont détectées. Si vous souhaitez en savoir plus sur les programmes malveillants pour routeur, lisez l’ analyse de Marta Janus de Kaspersky Lab sur Psyb0t, le premier programme malveillant pour routeur dans la nature.

Sécurité sur Internet et fuite de données

Fuite chez Vodafone Germany

Vodafone Germany a été confrontée à une fuite de données au milieu du mois de septembre portant sur les enregistrements de 2 millions de clients. Ces enregistrements contenaient les noms, les adresses, mais également les informations bancaires. Vodafone estime qu’il s’agissait de l’œuvre d’un employé au vu des traces détectées et du volume de données diffusées. Un suspect fut rapidement identifié, mais plus tard un groupe de pirates baptisé Team_L4w a revendiqué l’attaque et a indiqué qu’un de ses membres avait utilisé une clé USB pour infecter la machine d’un employé de Vodafone.

Vodafone a prévenu tous les clients touchés par la poste. Pour des raisons de transparence, Vodafone a mis un formulaire en ligne qui permet aux clients de vérifier si leurs données sont concernées.

Piratage de la communauté des développeurs d’Apple

En juillet, Apple a mis le portail des développeurs hors ligne pendant plus de trois semaines après qu’un individu avait accédé aux informations personnelles des développeurs inscrits. L’identité de cette personne et la méthode utilisée sont toujours sans réponses et il existe plusieurs scénarios. Peu de temps après l’annonce de l’incident, un prétendu consultant en sécurité a publié une vidéo sur Youtube dans laquelle il revendiquait les faits.

Il prétend avoir copié plus de 100 000 enregistrements des bases de données d’Apple, qu’il a promis de supprimer, et il a utilisé une faille de programmation de script intersite sur le portail des développeurs. L’auteur de l’attaque a ensuite partagé 19 enregistrements avec le journal le Guardian qui a confirmé que certaines adresses étaient non valides et que d’autres n’étaient pas attribuées. Cela a jeté le doute sur la confession de l’auteur de l’attaque.

Il est intéressant de constater que deux jours avant qu’Apple ne mette le portail des développeurs hors ligne, un individu avait publié un message à propos d’une nouvelle vulnérabilité sur les forums Apache. Non seulement cette personne expliquait les détails, mais elle fournissait également un code d’exploitation opérationnel. D’après un site chinois, cette publication entraîna des attaques massives et Apple ne serait qu’une victime parmi de nombreuses autres.

Défiguration de sites de grande renommée

Au début du mois d’octobre, plusieurs domaines de renom ont été défigurés, dont whatsapp.com, alexa.com, redtube.com et ceux de deux grandes sociétés de sécurité. Il semblerait que les auteurs de l’attaque, membres du groupe KDMS, aient préféré s’en prendre au DNS ou à l’enregistreur de nom de domaine et non pas aux serveurs Internet eux-mêmes. Tous les domaines compromis avaient en commun le même enregistreur DNS et avaient été mis à jour récemment au moment où l’incident fut dévoilé. D’après Softpedia, le FAI des sites Internet touchés avait été victime d’une attaque impliquant l’envoi de fausses demandes de réinitialisation de mot de passe par courrier. Une fois qu’ils avaient pris les commandes du domaine grâce à ces données, les auteurs avaient modifié les entrées et propager des messages politiques.

Programmes malveillants pour appareils nomades

Du point de vue de la lutte contre le code malveillant pour appareils nomades, le troisième trimestre 2013 aura été marqué par l’adoption de nouvelles ruses du côté des auteurs de virus.

Nouveautés des auteurs de virus

Ce trimestre aura été sans conteste celui des réseaux de zombies d’appareils nomades. Les auteurs des chevaux de Troie par SMS les plus répandus tentent de gérer leurs créations de manière plus interactive. Ainsi, ils ont commencé à utiliser Google Cloud Messaging pour gérer les bots. Ce service permet d’utiliser les serveurs de Google pour transmettre à l’appareil nomade un petit message au format JSON et les individus malintentionnés l’ont adopté comme centre de commande supplémentaire pour leurs chevaux de Troie.

Les solutions de protection peuvent difficilement identifier ce genre d’interaction. C’est le système qui traite les commandes envoyées par le service GCM et il est impossible de les bloquer directement sur l’appareil infecté. La seule manière d’empêcher les auteurs de virus d’utiliser ce canal pour communiquer avec leurs programmes malveillants consiste à bloquer les comptes des développeurs dont l’identifiant est utilisé par les programmes malveillants pour s’inscrire au service GCM.

A l’heure actuelle, le nombre de programmes malveillants qui utilisent le service GCM est assez réduit, mais la majorité d’entre eux est très populaire.

De plus, à la mi-juin 2013, nous avons observé pour la première fois des cas d’utilisation de la puissance de réseaux de zombie tiers (appareils nomades infectés par d’autres programmes malveillants que d’autres individus malintentionnés gèrent) pour diffuser des programmes malveillants pour appareils nomades.

Le cheval de Troie le plus complexe pour Android, à savoir Obad, a été diffusé de cette manière. Les vecteurs de sa diffusion ont été des appareils nomades infectés par Trojan-SMS.AndroidOS.Opfake.a. Opfake, suite à la réception d’une instruction depuis le centre de commande, a commencé à se propager par SMS aux contacts des appareils infectés. Ce SMS invitait la victime à télécharger un nouveau message MMS. Le destinataire du SMS qui cliquait sur ce lien téléchargeait automatiquement Backdoor.AndroidOS.Obad.a sur son appareil.

Comme toujours, les programmes malveillants pour appareils nomades cherchent principalement à voler l’argent des victimes. Un programme malveillant qui permet aux individus malintentionnés de voler de l’argent non seulement sur le compte de téléphone mobile de la victime, mais également sur son compte en banque a été détecté au troisième trimestre.  Trojan-SMS.AndroidOS.Svpeng.a, que nous avons intercepté en juillet, vérifie, sur instruction de l’auteur du virus, si le numéro de l’appareil nomade est associé au service de transaction bancaire mobile de différentes banques russes. La deuxième version de ce cheval de Troie contenait la fonctionnalité de cette vérification dans son code :


En général, un téléphone associé à un service "bancaire mobile" permet d’alimenter le compte de n’importe quel téléphone mobile en envoyant le SMS correspondant. Les individus malintentionnés peuvent ainsi transférer l’argent accessible via le "service bancaire mobile" vers leurs numéros, puis le transférer par exemple vers un porte-monnaie électronique comme QIWI.

Trojan-SMS.AndroidOS.Svpeng.a bloque les communications entre la victime et sa banque, principalement les SMS et les appels en provenance des numéros de téléphone associés à la banque. Par conséquent, il peut s’écouler un certain temps avec que la victime ne se rende compte du vol commis sur son compte.

Les pertes provoquées par ces chevaux de Troie s’élèvent à plusieurs milliers de dollars par victime.

L’exploitation de diverses vulnérabilités dans Android devient de plus en plus populaire. Par exemple, Svpeng.a a instauré un mot de passe inexistant pour accéder à un référentiel inexistant et a intercepté la boîte de dialogue permettant de lui retirer les privilèges d’administrateur de périphérique, ce qui empêchait l’utilisateur de pouvoir supprimer lui-même l’application.

Les privilèges d’administrateur de périphérique sont utilisés par quelques autres programmes malveillants actuels, ce qui leur permet d’être opérationnels, longtemps et efficacement, sur la majorité des versions d’Android.

Clés principales : des vulnérabilités dans Android permettent aux applications d’échapper aux vérifications de l’intégrité

Deux vulnérabilités très dangereuses dans Android ont été découvertes au début du troisième trimestre. Toutes deux sont désignées sous le nom de vulnérabilité de "clé principale". Elles permettent de modifier les composants d’une application en contournant la signature cryptographique si bien qu’Android considère ces applications comme des applications parfaitement légitimes même si elles contiennent des modules malveillants.

Ces deux vulnérabilités se ressemblent. La première vulnérabilité a été détectée au mois de février par Bluebox Security Company et elle a fait l’objet d’une présentation détaillée de Jeff Forristal lors de la conférence BlackHat à LasVegas. D’après Bluebox, cette vulnérabilité existe dans toutes les versions d’Android depuis 1.6 et pourrait donc toucher n’importe quel appareil commercialisé au cours des quatre dernières années. Les applications sont des fichiers uniques dotés de l’extension .APK (Android Package). En général, les fichiers APK sont des archives ZIP contenant toutes les ressources conditionnées sous la forme de fichiers portant un nom spécial (le code de l’application est normalement stocké dans le fichier classes.dex). En général, toute tentative d’exécution d’un fichier APK dont le contenu a été modifié est interrompue pendant l’installation de l’application sur Android. Le format ZIP en lui-même n’exclut pas les noms de fichier en double ; ceci étant dit, Android semble bien vérifier le double d’un fichier, mais il exécute l’autre.

Les informations relatives à la deuxième vulnérabilité ont été publiées par des experts chinois. Le problème dans ce cas se situe au niveau de l’utilisation simultanée de deux méthodes de lecture et de décompactage des fichiers APK et les interprétations différentes de Java et C. A l’instar de la première vulnérabilité, cette méthode d’infection peut être appliquée à n’importe quel type de fichier afin d’intervenir dans le fonctionnement du système. Il convient de noter qu’un des prérequis pour la réussite de l’attaque est la longueur du fichier classes.dex : il ne peut pas être plus long que 64 Ko et cette condition n’est pas remplie par la majorité des applications Android.

Pour en savoir plus, lisez le billet de Stefano Ortolani.

Statistiques

L’augmentation du nombre de programmes malveillants pour appareils nomades s’est maintenue au troisième trimestre 2013.


Nombres d’exemplaires dans notre collection.

La répartition des programmes malveillants par types, détectés au troisième trimestre 2013, est inchangée par rapport au trimestre antérieur :


Répartition des nouveaux programmes malveillants pour appareils nomades par type de comportement, 3e trimestre 2013

Les portes dérobées occupent toujours la premières position, même si elles enregistrent un recul de 1,3 % par rapport au deuxième trimestre 2013. Les chevaux de Troie par SMS (30 %) occupent la deuxième position et progressent de 2,3 %. Viennent ensuite les chevaux de Troie (22 %) et les chevaux de Troie espion (5 %). Au troisième trimestre, les portes dérobées et les chevaux de Troie SMS représentaient 61 % de l’ensemble des programmes malveillants pour appareils nomades détectés, soit une progression de 4,5 % par rapport au deuxième trimestre.

Nous tenons à signaler que souvent, les programmes malveillants pour appareils nomades incluent plusieurs composants malveillants et c’est a raison pour laquelle les portes dérobées ont souvent une fonctionnalité de cheval de Troie SMS et que les chevaux de Troie SMS peuvent intégrer une fonctionnalité complexe de bot.

Top 20 des programmes malveillants pour appareils nomades

  Nom % de l’ensemble des attaques
1 DangerousObject.Multi.Generic 29,15%
2 Trojan-SMS.AndroidOS.OpFake.bo 17,63%
3 Trojan-SMS.AndroidOS.FakeInst.a 8,40%
4 Trojan-SMS.AndroidOS.Agent.u 5,49%
5 Trojan.AndroidOS.Plangton.a 3,15%
6 Trojan-SMS.AndroidOS.Agent.cm 3,92%
7 Trojan-SMS.AndroidOS.OpFake.a 3,58%
8 Trojan-SMS.AndroidOS.Agent.ao 1,90%
9 Trojan.AndroidOS.MTK.a 1,00%
10 DangerousObject 1,11%
11 Trojan-SMS.AndroidOS.Stealer.a 0,94%
12 Trojan-SMS.AndroidOS.Agent.ay 0,97%
13 Exploit.AndroidOS.Lotoor.g 0,94%
14 Trojan-SMS.AndroidOS.Agent.a 0,92%
15 Trojan-SMS.AndroidOS.FakeInst.ei 0,73%
16 Trojan.AndroidOS.MTK.c 0,60%
17 Trojan-SMS.AndroidOS.Agent.df 0,68%
18 Trojan-SMS.AndroidOS.Agent.dd 0,77%
19 Backdoor.AndroidOS.GinMaster.a 0,80%
20 Trojan-Downloader.AOS.Boqx.a 0,49%

Comme vous le voyez, 12 programmes du Top 20 sont des représentants de la catégories Trojan-SMS. Cela signifie que les individus malintentionnés préfèrent organiser des attaques à l’aide de chevaux de Troie SMS et que cette catégorie de programmes malveillants demeure le principal gagne-pain de ces individus malintentionnés.

La première place revient à  DangerousObject.Multi.Generic . Ce verdict indique que nous connaissons déjà le caractère malveillant de l’application, mais notre utilisateur n’a pas encore reçu, pour une raison quelconque, la définition qui permet de la détecter. Dans ce cas, la détection s’opère à l’aide de notre service dans le cloud Kaspersky Security Network, qui permet à notre logiciel de réagir rapidement aux nouvelles menaces inconnues.

Les programmes malveillants pour appareils mobiles qui occupent les trois places suivantes du classement  sont des programmes complexes qui interviennent dans la mise en place des réseaux de zombies d’appareils nomades.

Trojan-SMS.AndroidOS.OpFake.bo occupe la deuxième position. Il s’agit d’un des représentants des chevaux de Troie SMS les plus complexes. Il se distingue par son interface attrayante et la cupidité de ses auteurs. L’exécution du cheval de Troie entraîne un retrait sur le compte de téléphonie mobile du propriétaire du téléphone qui peut aller de 9 dollars à l’ensemble du solde disponible. Le numéro de téléphone de la victime risque également d’être discrédité car le cheval de Troie est capable de composer les numéros du répertoire et d’y envoyer des messages aléatoires. Il vise principalement les utilisateurs de Russie et d’autres pays de la CEI. Un autre programme malveillant de cette famille doté d’une fonctionnalité similaire occupe la 7e position du Top 20.

Trojan-SMS.AndroidOS.FakeInst.a occupe la 3e position. Ce cheval de Troie, à l’instar d’OpFake, a évolué au cours des deux dernières années et d’un simple programme d’envoi de SMS, il est devenu un bot à part entière administré via divers canaux (notamment le service Google Cloud Messaging). Il est capable de voler l’argent du compte de l’abonné au service de téléphonie et d’envoyer des messages aux contacts de la victime.

Trojan-SMS.AndroidOS.Agent.u, en quatrième position, est le premier cheval de Troie qui a commencé à exploiter une vulnérabilité dans Android pour obtenir les privilèges d’administrateur de périphérique, ce qui complique énormément son élimination. Il est également capable d’ignorer les appels entrants et de réaliser des appels. L’infection peut se traduire par l’envoi de plusieurs SMS pour un montant total minimum de 9 dollars.

Android aura été la cible de 97,5 % des attaques menées au troisième trimestre contre les plateformes mobiles. Ceci n’a rien d’étonnant car cette plateforme jouit toujours d’une grande popularité, elle est ouverte et ses versions les plus récentes autorisent toujours l’installation d’application en provenance de sources tierces.

Il faut toutefois reconnaître les actions de Google : le système d’exploitation réagit lui-même face à certains programmes malveillants.


Cela signifie que les auteurs d’un des systèmes d’exploitation pour appareils nomades les plus répandus tiennent compte pour le moins du fait qu’Android constitue à l’heure actuelle la principale cible des programmes malveillants et tentent de faire face à cette situation.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network  (KSN) suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Objets détectés sur Internet

Au troisième trimestre 2013, les solutions de Kaspersky Lab ont repoussé 500 284 715 attaques organisées depuis des ressources Internet situées dans différents pays.

TOP 20 de Objets détectés sur Internet

  Nom* % de l’ensemble des attaques**
1 Malicious URL 89,16%
2 Trojan.Script.Generic 3,57%
3 Adware.Win32.MegaSearch.am 2,72%
4 Trojan-Downloader.JS.Psyme.apb 1,19%
5 Trojan.Script.Iframer 1,10%
6 Exploit.Script.Blocker 0,37%
7 Trojan.Win32.Generic 0,35%
8 Trojan-Downloader.Script.Generic 0,28%
9 Trojan.JS.Iframe.aeq 0,15%
10 Adware.Win32.Agent.aeph 0,13%
11 Exploit.Java.Generic 0,11%
12 Trojan-Downloader.Win32.MultiDL.k 0,10%
13 Trojan-Downloader.Win32.Generic 0,10%
14 Exploit.Script.Generic 0,08%
15 Exploit.Script.Blocker.u 0,06%
16 WebToolbar.Win32.MyWebSearch.rh 0,06%
17 Packed.Multi.MultiPacked.gen 0,06%
18 Trojan-SMS.J2ME.Agent.kn 0,05%
19 Adware.Win32.Lyckriks.j 0,05%
20 Exploit.JS.Agent.bnk 0,04%

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.

**Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Ce classement montre une fois de  plus que la majorité des détections de l’antivirus Internet a lieu au stade de la vérification de l’URL.  89,2 % de l’ensemble des déclenchements de l’Antivirus Internet impliquaient des liens de la liste noire (Malicious URL, 1re position). 

10 positions du Top 20 sont occupées par des verdicts divers attribués aux objets malveillants qui interviennent dans les attaques par téléchargement à la dérobée, le mode de diffusion des programmes malveillants par Internet le plus populaire. Il s’agit de verdict heuristique commeTrojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic et de verdicts non-heuristiques.

Parmi les verdicts non heuristiques, ce classement reprend une majorité de logiciels publicitaires dont la part a augmenté de 2,4 % par rapport au deuxième trimestre 2013.

Trojan-SMS.J2ME.Agent.kn est une entrée qui crée la surprise dans le classement. Ce programme malveillant vise la plateforme mobile Java Platform Micro Edition. Les représentants de cette famille n’était pas apparu dans le Top 20 depuis 2011. Ce programme malveillant pour appareil nomade envoie des SMS à des numéros surtaxés. . Le programme malveillant se propage via des messages ICQ non sollicités qui contiennent un lien pour télécharger une application Java ou depuis des sites thématiques sur lesquels l’utilisateur est invité à télécharger des applications mobiles. Quand l’utilisateur clique sur le lien, le champ User-Agent est vérifié du côté du site afin de définir le système d’exploitation de l’utilisateur.  Si User-Agent correspond au navigateur sur Android, un programme Android malveillant est téléchargé. Dans tous les autres cas, y compris lors de l’utilisation du navigateur d’un ordinateur normal, les propriétaires du programme malveillant ont préféré donné "par défaut" une application J2ME. Quand l’utilisateur clique sur de tels liens, l’Antivirus Internet sur les ordinateurs donne le verdict Trojan-SMS.J2ME.Agent.kn.

Pays hébergeant les ressources exploitées dans les attaques contre les utilisateurs

Ces statistiques montrent où se trouvent les sites bloqués par l’Antivirus Internet et utilisés dans le cadre des attaques menées contre les utilisateurs (pages Internet avec redirection vers des codes d’exploitation, sites avec des codes d’exploitation et autres programmes malveillants, centres d’administration de réseaux de zombies).  Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

81,5% des sites Internet utilisés pour la diffusion de programmes malveillants sont répartis entre 10 pays. Ce chiffre est en recul de 1,5 % par rapport au deuxième trimestre.


Répartition par pays des sites Internet qui hébergent des programmes malveillants par les individus malintentionnés dans le cadre des attaques Internet bloquées au troisième trimestre 2013

Dans le classement des pays par hébergements malveillants bloqués, les parts respectives des pays par rapport au deuxième trimestre n’ont pratiquement pas changé. Les Etats-Unis (27,7 %), la Russie (18,5 %), l’Allemagne (13,4 %) et les Pays-Bas (11,6 %) occupent toujours les quatre premières positions du classement. Ces pays abritent 70,15 % des hôtes malveillants.  La Chine et le Viet Nam ont quitté le Top 10 tandis que le Canada (1,3 %) et les îles Vierges (1,2 %) font leur entrée en 8e et 9e place respectivement.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l’Antivirus Internet chez les utilisateurs des logiciels de Kaspersky Lab dans chacun des pays au cours du trimestre.


Top 20 des pays* où le risque d’infection des ordinateurs via Internet est le plus élevé** Troisième trimestre 2013

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

La composition du classement est inchangée par rapport au deuxième trimestre 2013, à l’exception de l’entrée de l’Allemagne en 12e position (35,78 %) et de la sortie de la Libye.

Il est intéressant de constater qu’à l’issue du troisième trimestres 2013, les indices de l’ensemble des pays sont inférieurs à 50 %. Par exemple, l’indice de la Russie, qui occupe la 1re position, est égal à 49,66 %. Par conséquent, aucun pays n’est entré dans le groupe à risque maximal (qui réunit les pays où plus de 60 % des utilisateurs ont été confrontés au moins une fois à des programmes malveillants sur Internet).

Nous pouvons répartir les pays en plusieurs groupes.

  1. Groupe à risque élevé. Ce groupe dont l’indice de risque est compris entre 41et 60 % reprend les 8 premiers pays du Top 20, soit 2 de moins qu’au deuxième trimestre 2013. Ce groupe reprend toujours le Viet Nam (43,45 %) et les pays de l’ex-URSS : Russie (49,66 %), Kazakhstan (49,22 %), Arménie (49,06 %), Azerbaïdjan (48,43 %), Tadjikistan (45,40 %), Biélorussie (40,36 %) et Ukraine (40,11 %).
  2. Groupe à risque. Ce groupe où le risque est compris entre 21 et 40,99 % reprend 76 pays dont l’Allemagne (35,78 %), la Pologne (32,79 %), le Brésil (30,25 %), les Etats-Unis (29,51 %), l’Espagne (28,87 %), le Qatar (28,82 %), l’Italie (28,26 %), la France (27,91%), la Grande-Bretagne (21,80 %), l’Egypte (26,30 %), la Suède (21,80 %), les Pays-Bas (21,44 %) et l’Argentine (21,40 %).
  3. Groupe des pays les plus sûrs en terme de navigation sur Internet.  Au troisième trimestre 2013, ce groupe reprenait 62 pays où l’indice de sécurité était compris entre 10 et 20 %.


Les pourcentages le plus faible d’internautes attaqués ont été enregistrés au Danemark (17,01 %), au Japon (17,87 %), en Afrique du Sud (18,69 %), en République tchèque (19,68 %), en Slovaquie (19,97%) et en Finlande (20,87 %).

En moyenne, 34,1% des ordinateurs des participants au KSN ont été victimes au moins d’une attaque lors de la navigation sur Internet au cours du trimestre. Nous tenons à signaler que la part des ordinateurs attaqués par rapport au 2e trimestre 2013 a reculé de 1,1%.

Menaces locales

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Objets découverts sur les ordinateurs

Au troisième trimestre 2013, nos solutions antivirus ont réussi à détecter 476 856 965 objets locaux sur les ordinateurs et les supports amovibles des utilisateurs qui participent au Kaspersky Security Network.

Top 20 des objets découverts sur les ordinateurs Internet

 

  Nom % d’utilisateurs uniques attaqués*
1 Trojan.Win32.Generic 35,51%
2 DangerousObject.Multi.Generic 32,43%
3 Trojan.Win32.AutoRun.gen 13,56%
4 Adware.Win32.DelBar.a 11,80%
5 Virus.Win32.Sality.gen 9,52%
6 Adware.Win32.Bromngr.j 7,81%
7 Exploit.Win32.CVE-2010-2568.gen 7,56%
8 Adware.Win32.Bromngr.i 6,60%
9 Adware.Win32.Agent.aeph 6,55%
10 Worm.Win32.Debris.a 6,24%
11 Trojan.Win32.Starter.lgb 5,59%
12 Adware.Win32.WebCake.a 5,06%
13 Expoit.Script.Generic 4,31%
14 Trojan.WinLNK.Runner.ea 4,17%
15 Adware.Win32.Bandoo.a 4,00%
16 Virus.Win32.Generic 3,71%
17 Virus.Win32.Nimnul.a 3,67%
18 Trojan.Win32.Staser.fv 3,53%
19 Trojan.Script.Generic 3,52%
20 HiddenObject.Multi.Generic 3,36%

Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

* Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

Une fois de plus, ce classement est mené par trois verdicts.

Trojan.Win32.Generic (35,51%) en première position est un verdict obtenu par analyse heuristique lors de la détection proactive d’une multitude de programmes malveillants.

Les programmes malveillants DangerousObject.Multi.Generic, détectés à l’aide des technologies dans le nuage, occupent la 2e position avec un indice de 32,43 %. Les technologies dans le nuage interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais Kaspersky Lab dispose déjà dans le « nuage » d’informations relatives à l’objet. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents.

Trojan.Win32.AutoRun.gen (13,56 %) occupe la troisième position. Ceci désigne les programmes malveillants qui utilisent le lancement automatique.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Les chiffres fournis ci-dessous montrent le taux d’infection moyen des ordinateurs dans un pays ou l’autre. Près d’un ordinateur sur trois (31,9%) des utilisateurs de KSN qui nous ont transmis ces données contenait un fichier malveillant, soit sur le disque dur ou sur un disque amovible connecté. Ce qui représente une augmentation de 2% par rapport au trimestre précédent.


TOP 20 des pays* selon le niveau d’infection des ordinateurs**, deuxième trimestre 2013

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

* *Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Cela fait plus d’un an que les 20 premières places du classement sont occupées par des pays d’Afrique, du Moyen-Orient et du Sud-Est asiatique.

Dans le cas des infections locales, nous pouvons également regrouper les pays en fonction du niveau d’infection :

  1. Groupe présentant le niveau d’infection maximum (plus de 60 %) : seul le Viet Nam (61,2 %) figure dans ce groupe.
  2. Niveau d’infection élevé (41 à 60 %) : ce groupe reprend 29 pays dont le Népal (55,61 %), le Bangladesh (54,75 %), l’Inde (51,88 %), le Maroc (42,93 %) et les Philippines (41,97 %).
  3. Niveau d’infection moyen (21 à 40,99 %) : 87 pays dont la Thaïlande (40,19 %), les Emirats Arabes Unis (39,86 %), la Turquie (38,41 %), le Brésil (36,67%), la Chine (36,07 %), le Mexique (34,09 %), l’Allemagne (24,31 %) et la Grande-Bretagne (21,91 %).
  4. Niveau d’infection minimum (jusqu’à 21 %) : 29 pays dont les Etats-Unis (20,36 %), le Canada (19,18 %), les Pays-Bas (18,39 %), la Suède (16,8 %), le Japon (12,9 %) et la République tchèque (12,65 %).

 


Risque d’infection locale des ordinateurs dans divers pays
Troisième trimestre 2013

Voici le Top 10 des pays les plus sûrs en matière d’infection locale :

     Nombre País
1 Danemark 11,93%
2 République tchèque 12,85%
3 Japon 12,90%
4 Finlande 14,03%
5 Slovénie 14,93%
6 Norvège 15,95%
7 Seychelles 16,32%
8 Estonie 16,46%
9 Slovaquie 16,72%
10 Suède 16,80%
 

 

Par rapport au deuxième trimestre 2013, cette liste compte trois nouveaux pays, à savoir les Seychelles, l’Estonie et la Slovaquie qui ont remplacé l’Irlande, les Pays-Bas et la Martinique.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *