Evolution des menaces informatiques au 1er trimestre 2014

hiffres trimestriels :

  • D’après les données de KSN, au premier trimestre 2014, les produits de Kaspersky Lab ont bloqué 1 131 000 866 attaques malveillantes menées contre des ordinateurs et des appareils mobiles.
  • Les solutions de Kaspersky Lab ont déjoué 353 216 351 attaques organisées depuis divers sites répartis à travers le monde.
  • Notre antivirus Internet a détecté 29 122 849 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).
  • 81 736 783 URL uniques ont provoqué un déclenchement de l’antivirus Internet.
  • 39% des attaques Internet bloquées par nos produits ont été menées depuis les Etats-Unis et la Russie.
  • Nos solutions antivirus ont détecté près de 645 809 230 attaques de virus sur les ordinateurs de nos utilisateurs. 135 227 372 objets uniques, malveillants ou potentiellement indésirables, ont été recensés dans ces incidents.

Aperçu

Attaques ciblées / APT

Le brouillard se dissipe

En septembre 2013, nous avions publié un article consacré à une attaque ciblée qui visait principalement la Corée du Sud et le Japon et qui avait été baptisée Icefog. La majorité des campagnes APT durent des mois, voire des années, et volent les données de leurs victimes de façon continue. Les attaquants à l’origine d’Icefog, pour leur part, s’étaient concentrés sur une victime à la fois et avaient organisé des frappes chirurgicales afin de voler des données spécifiques. La campagne, active depuis au moins 2011, impliquait l’utilisation d’une série de versions différentes de programmes malveillants, dont un pour Mac OS.

Suite à la publication de notre rapport, Icefog s’est arrêté et les attaquants ont fermé tous les serveurs de commande connus. Toutefois, nous avons maintenu notre surveillance en détournant des domaines pour analyse et en analysant également les connexions des victimes. Cette analyse continue a permis de dévoiler l’existence d’une autre génération de portes dérobées Icefog. Cette fois-ci, il s’agissait d’une version Java du programme malveillant que nous avons baptisée ‘Javafog’. Les connexions à un des domaines analysés, ‘lingdona[dot]com’, indiquaient que le client pouvait être une application java et une enquête ultérieure a permis de trouver un échantillon de cette application (les détails de l’analyse sont accessibles ici).

Durant l’analyse des connexions pour ce domaine, nous avons observé huit adresses IP pour trois victimes uniques du bot Java. Elles se trouvaient toutes aux Etats-Unis. L’une d’entre elles était une grande compagnie pétrolière et gazière indépendante présente dans de nombreux pays. Il se peut que Javafog ait été développé pour une opération visant les Etats-Unis et qui aurait dû durer plus longtemps que les attaques Icefog traditionnelles. Le choix de Java pourrait s’expliquer par le fait que les versions Java des programmes malveillants sont plus furtives et plus difficiles à détecter.

Derrière le masque

Au mois de février, l’équipe de chercheurs en sécurité de Kaspersky Lab a publié un rapport consacré à une campagne de cyberespionnage complexe baptisée The Mask ou Careto (argot espagnol pour « sale tête » ou « masque »). Cette campagne visait à voler des données sensibles de différents types de cibles. Parmi les victimes, réparties entre 31 pays, on a retrouvé des agences gouvernementales, des ambassades, des sociétés du secteur de l’énergie, des instituts de recherche, des sociétés privées et des activistes. Voici la liste complète.

Les attaques débutent par un message ciblé qui contient un lien vers un site malveillant hébergeant un certain nombre de codes d’exploitation. Une fois que l’ordinateur de la victime a été infecté, elle est redirigée vers le site légitime décrit dans le courrier électronique reçu (par exemple, un portail d’informations ou une vidéo). The Mask contient un cheval de Troie de type backdoor qui est capable d’intercepter tous les canaux de communication et de récolter tous types de données sur l’ordinateur infecté. A l’instar de l’attaque Red October et d’autres attaques ciblées avant lui, le code est excessivement modulable, ce qui permet aux attaquants d’ajouter de nouvelles fonctionnalités quand ils le souhaitent. Une autre caractéristique de The Mask est qu’il ratisse large : il existe des versions de backdoor pour Windows et pour Mac OS X et certaines références laissent penser qu’il pourrait y avoir également des versions pour Linux, iOS et Android. Le cheval de Troie utilise également des techniques furtives de pointe pour masquer ses activités.

Le principal objectif poursuivi par les attaquants qui utilisent The Mask est de voler les données des victimes.

Le programme malveillant récolte un large éventail de données sur le système infecté dont les clés de chiffrement, les configurations VPN, les clés SSH, les fichiers RDP et certains types de fichier inconnus qui pourraient être associés à des outils de chiffrement de l’armée/du gouvernement.

L’identité des promoteurs de la campagne est inconnue. Certains éléments laissent penser à l’utilisation de l’espagnol, mais cela ne suffit pas pour identifier les auteurs car l’espagnol est parlé dans de nombreux endroits. Il se peut également que cela ne soit qu’une astuce pour détourner l’attention des auteurs véritables. Le professionnalisme élevé du groupe à l’origine de l’attaque est inhabituel pour des cybercriminels. Cet élément laisse penser que le Masque pourrait être une campagne appuyées par un Etat.

Cette campagne met en évidence l’existence d’attaquants très professionnels qui possèdent les ressources et les aptitudes nécessaires au développement de programmes malveillants complexes, dans ce cas-ci, pour voler des informations sensibles. Elle nous rappelle également que les attaques ciblées, en raison du niveau d’activité faible ou inexistant produit ailleurs que chez les victimes, peuvent « voler sous les radars ».

Il est tout aussi important de reconnaître que, quel que soit le caractère complexe de The Mask, le point de départ (comme pour de nombreuses autres attaques ciblées) consiste à amener un individu à réaliser une action qui met en danger la sécurité de l’organisation pour laquelle il travaille, ce qui se résume dans ce cas-ci à cliquer sur un lien.

A l’heure actuelle, tous les serveurs de commande connus qui géraient les infections sont hors ligne. Mais il se peut que les attaquants reprennent leurs activités à l’avenir.

Le ver et le serpent

Au début du mois de mars, la communauté des experts en sécurité informatique était secouée par des discussions sur une campagne de cyberespionnage baptisée Turla (ou Snake et Uroburos). Des chercheurs chez G-DATA pensent que le programme malveillant utilisé aurait pu être créé par les services secrets russes. Des recherches menées par BAE Systems ont permis d’associer Turla à un programme malveillant baptisé ‘Agent.btz’ qui remonte à 2007 et qui avait été utilisé en 2008 pour infecter les intranets d’implantations militaires américaines au Moyen-Orient.

Kaspersky Lab a découvert cette campagne ciblée lors de l’analyse d’un incident impliquant un outil de dissimulation d’activité très complexe que nous avons baptisé ‘rootkit Sun’. L’analyse a déterminé que ‘rootkit Sun’ et Uroburos étaient en réalité la même menace.

Nous analysons toujours Turla et nous pensons qu’il est bien plus complexe que ne le laissent croire les informations publiées jusqu’à présent. Ceci étant dit, nos premières analyses ont mis en évidence certains éléments intéressants.

Agent.btz est un ver qui se reproduit automatiquement et qui peut se propager via des lecteurs USB Flash grâce à une vulnérabilité qui lui permet de s’exécuter grâce à ‘autorun.inf’. Ce programme malveillant fut capable de se propager rapidement à travers le monde. Bien qu’aucune nouvelle version du ver n’ait été créée depuis plusieurs années et que la vulnérabilité citée ci-dessus ait été éliminée dans les versions plus récentes de Windows, nous avons détecté Agent.btz 13 832 fois dans 107 pays rien qu’en 2013 !

Ce ver crée un fichier baptisé ‘thumb.dll’ sur tous les lecteurs USB connectés à l’ordinateur infecté (contenant les fichiers ‘winview.ocx’, ‘wmcache.nld’ et ‘mssysmgr.ocx’). Le fichier est un conteneur pour les données volées qui sont enregistrées sur le lecteur flash s’il est impossible de les envoyer directement au serveur de commande des attaquants via Internet. Si ce lecteur flash est ensuite connecté à un autre ordinateur, le fichier ‘thumb.dll’ est copié sur le nouvel ordinateur sous le nom mssysmgr.ocx.

Nous pensons que vu l’ampleur de l’épidémie, associée à la fonctionnalité décrite ci-dessus, il existe des dizaines de milliers de lecteurs USB flash à travers le monde qui contiennent le fichier ‘thumb.dll’ créé par Agent.btz. À l’heure actuelle, la majorité des versions de ce programme malveillant sont détectées par Kaspersky Lab sous le nom ‘Worm.Win32.Orbina’.

Bien entendu, Agent.btz n’est pas le seul programme malveillant qui se propage via des lecteurs USB Flash.

Le module ‘USB Stealer’ dans Red October inclut une liste de fichiers qu’il recherche sur les lecteurs USB Flash connectés aux ordinateurs infectés. Nous avons remarqué que cette liste contient notamment ‘mysysmgr.ocx’ et ‘thumb.dll’, soit deux des fichiers écrits sur les lecteurs USB Flash par Agent.btz.

Nous sommes remontés un peu plus en arrière et nous avons analysé Flame et ses cousins Gauss et miniFlame et nous avons observé des similitudes avec Agent.btz. La nomenclature est similaire, surtout au niveau de l’utilisation de l’extension ‘.ocx’. De plus, il était évident que Gauss et miniFlame étaient informés de l’existence du fichier ‘thumb.dll’ et qu’ils le recherchaient sur les clés USB.

De plus, Turla utilise des noms de fichiers identiques à ceux d’Agent.btz pour les journaux créés sur les ordinateurs infectés : ‘mswmpdat.tlb’, ‘winview.ocx’ et ‘wmcache.nld’. Il utilise également la même clé XOR pour chiffrer les journaux.

Ces points de comparaison sont repris ci-dessous.



Jusqu’à présent, tout ce que nous savons est que ces programmes malveillants ont des points communs. Il ne fait aucun doute qu’Agent.btz a été une source d’inspiration pour ceux qui ont développé les autres programmes malveillants. Mais nous ne pouvons pas encore affirmer avec certitude si toutes ces menaces ont été créées par les mêmes personnes.

Histoires de programmes malveillants : épluchons l’oignon

Tor (abréviation anglaise pour The Onion Router) est un logiciel qui permet à un internaute de conserver son anonymat lorsqu’il navigue. Il existe depuis un certain temps, mais pendant de nombreuses années, il a été utilisé uniquement par des experts et des passionnés. Toutefois, l’utilisation de Tor a explosé au cours de ces derniers mois, principalement en raison des inquiétudes croissantes sur le respect de la vie privée. Tor est devenu une solution utile pour ceux qui, pour quelque raison que ce soit, ont peur de la surveillance et des fuites d’informations confidentielles. Toutefois, les enquêtes que nous avons réalisées au cours de ces derniers mois montrent clairement que Tor attire également les cybercriminels : eux aussi apprécient l’anonymat qu’il offre.

En 2013, nous avons commencé à observer des cybercriminels qui utilisaient activement Tor pour héberger leur infrastructure de programme malveillant et les experts de Kaspersky Lab ont détecté plusieurs programmes malveillants qui utilisent spécialement Tor. L’étude des ressources du réseau Tor met en évidence de nombreuses ressources dédiées aux programmes malveillants dont des serveurs de commande, des panneaux d’administration, etc. En plaçant leurs serveurs dans le réseau Tor, les cybercriminels les protègent contre l’identification et il devient plus difficile de placer ces serveurs dans des listes noires et de les éliminer.

Les forums de cybercriminels et les marchés sont devenus monnaie courante sur l’Internet ‘normal’. Mais nous avons pu observer récemment l’émergence d’un marché clandestin dans Tor également. Tout a commencé avec le célèbre site Silk Road et le phénomène s’est développé pour offrir des dizaines de sites spécialisés pour les drogues, les armes et, bien entendu, les programmes malveillants.

Les magasins de carding sont bien implantés dans le Darknet où l’on peut acheter des informations personnelles volées avec divers attributs de recherche tels que le pays, la banque, etc. Les biens proposés ne se limitent pas aux cartes de crédit : on peut également acheter des données de cartes bancaires, des lecteurs de bandes magnétiques et du matériel de carding.

Un marché clandestin sur Tor possède les caractéristiques suivantes : procédure d’enregistrement simple, évaluation des acteurs, services garantis et interface conviviale. Certains magasins imposent aux vendeurs de déposer une caution (une somme d’argent déterminée) avant de pouvoir commencer à vendre. Cette mesure vise à confirmer l’authenticité du vendeur ainsi que la réalité et la qualité des services proposés.

Le développement de Tor a coïncidé avec l’émergence de la crypto-devise anonyme Bitcoin. Presque tout sur le réseau Tor s’achète et se vend à l’aide de Bitcoins. Il est pratiquement impossible d’identifier la personne qui détient le portefeuille Bitcoin. Par conséquent, il est fort peu probable que les cybercriminels qui réalisent des transactions en Bitcoins sur le Darknet soient tracés.

Il est probable que Tor et d’autres réseaux anonymes deviennent des phénomènes normaux sur Internet dans la mesure où un nombre croissant d’internautes ordinaires cherchent à protéger leurs informations personnelles. Mais ce mécanisme attire également les cybercriminels car il leur permet de dissimuler les fonctions des programmes malveillants qu’ils créent, d’acheter et de vendre des services destinés aux cybercriminels et de blanchir les revenus illégaux. Nous estimons que ceci n’est que le début de l’utilisation de ces réseaux par les cybercriminels.

Sécurité sur Internet et fuite de données

Les hauts et les bas de Bitcoin

Bitcoin est une crypto-devise numérique. Elle fonctionne selon un modèle P2P dans le cadre duquel l’argent prend la forme d’une chaîne de signatures numériques qui représentent des portions d’un Bitcoin. Il n’existe aucune autorité centrale de contrôle et il n’y a aucun frais pour les transactions internationales, ce qui en fait un mode de paiement très attrayant. Le Bitcoin et son principe de fonctionnement sont présentés sur le site Internet de Kaspersky Daily.

L’augmentation de l’utilisation des Bitcoins a transformé cette devise en cible attrayante pour les cybercriminels.

Dans le cadre de nos prévisions de fin d’année, nous avions dit clairement que les « attaques contre les groupes, les bourses et les utilisateurs de Bitcoins deviendront un des sujets les plus chauds de l’année’. Nous avions même précisé que ces attaques « seraient particulièrement populaires auprès des escrocs car le rapport coût/revenu est très intéressant ».

Nous avons déjà observé de nombreuses confirmations de ces propos. Mt.Gox, une des plus grandes bourses de Bitcoins, a été mise hors ligne le 25 février. Cet événement se produisait après un mois turbulent au cours duquel la bourse avait connu de nombreux problèmes. Ceux-ci avaient entraîné une chute sensible du cours du Bitcoin sur le site. Des rapports ont indiqué que l’insolvabilité de la bourse était le résultat d’un piratage qui avait entraîné la perte de 744 408 Bitcoins, soit l’équivalent d’environ 350 millions de dollars américains au moment où la bourse Mt.Gox fut mise hors ligne. Il semblerait que le problème dans ce cas fut la malléabilité des transactions. Sous certaines conditions, le protocole Bitcoin permet à un attaquant d’émettre différents ID de transaction pour la même transaction, ce qui laisse croire que la transaction n’a jamais eu lieu. Notre interprétation des problèmes qui ont entouré la chute de Mt.Gox est accessible ici. Le problème de malléabilité des transactions est désormais résolu. Bien entendu, Mt.Gox n’est pas le seul prestataire de services bancaires virtuels qui a été attaqué, comme nous l’avions cité vers la fin de l’année dernière. L’utilisation croissante des devises virtuelles va entraîner une augmentation du nombre d’attaques à l’avenir.

Les bourses de devises virtuelles ne sont pas les seules exposées aux attaques. Les utilisateurs des crypto-devises peuvent également être ciblés par des cybercriminels. Vers le milieu du mois de mars, le blog personnel et le compte Reddit de Mark Karepeles, PDG de Mt. Gox, ont été piratés. Ces comptes furent exploités pour diffuser un fichier nommé ‘MtGox2014Leak.zip’. Ce fichier contenait prétendument les données de bases de données de valeur ainsi qu’un logiciel spécialisé permettant d’accéder à distance aux données de Mt.Gox. Il contenait en réalité un programme malveillant dont la fonction était de trouver et de voler les fichiers de portefeuilles Bitcoins. Notre compte-rendu consacré à ce programme malveillant est accessible ici. Il explique clairement comment les cybercriminels parviennent à manipuler l’intérêt du public pour les sujets d’actualité afin de propager des programmes malveillants.

Un point d’une très grande importance soulevé par toutes ces attaques est le suivant : comment les utilisateurs de crypto-devises peuvent-ils se protéger dans un environnement où, à la différence de ce qu’il se passe avec les vraies devises, il n’existe aucune norme et réglementations externes ? Nous vous conseillons de stocker vos Bitcoins dans un client Bitcoin open source hors ligne (au lieu de services de bourses en ligne dont l’historique est inconnu) et si vous possédez beaucoup de Bitcoins, conservez-les dans un portefeuille sur un ordinateur qui n’est pas connecté à Internet. De plus, créez les phrases secrètes les plus complexes possibles pour votre portefeuille Bitcoins et assurez-vous que votre ordinateur est doté d’une bonne solution de sécurité pour Internet.

Les diffuseurs de courriers indésirables sont également très rapides pour assimiler les techniques d’ingénierie sociale dans le but d’escroquer les destinataires des messages. Ils ont profité de la hausse du cours du Bitcoin dans la première partie du trimestre (avant la chute de Mt.Gox) afin de tenter d’exploiter le désir des gens de devenir riche rapidement. Comme nous l’avions expliqué en février, les diffuseurs de courriers indésirables ont utilisé plusieurs sujets en rapport avec les Bitcoins. Parmi ceux-ci, des offres pour partager les secrets d’un millionnaire sur la manière de devenir riche en investissant dans des Bitcoins ou des propositions de participation à une loterie Bitcoin.

Un bon logiciel qui pourrait être utilisé à de mauvaises fins

Lors du Kaspersky Security Analyst Summit 2014 qui s’est tenu en février, nous avons expliqué comment la mise en œuvre inadéquate de technologies antivol intégrée au micrologiciel d’ordinateurs portables ou de bureau largement utilisés pourrait se transformer en arme redoutable dans les mains de cybercriminels.

Notre enquête a débuté lorsqu’un employé de Kaspersky Lab s’est plaint de crashs répétés de processus système sur un de ses ordinateurs personnels. L’analyse du journal des événements et du vidage de mémoire révéla que ces crashs étaient dus à une instabilité dans les modules ‘identprv.dll’ et ‘wcprv.dll’ qui étaient chargés dans l’espace d’adresses d’un des processus de l’hôte du service système (‘svchost.exe’). Ces modules avaient été créés par Absolute Software, une société respectable, et faisaient partie du logiciel Absolute Computrace.

Notre collègue déclara qu’il n’avait pas installé le logiciel et qu’il ignorait même sa présence sur le laptop. Cet élément d’information nous a perturbés car, d’après un article d’Absolute Software, l’installation doit être réalisée par le propriétaire de l’ordinateur ou par le service des technologies de l’information. De plus, alors que la majorité des logiciels préinstallés peuvent être supprimés ou désactivés définitivement par le propriétaire de l’ordinateur, Computrace a été conçu pour résister à un nettoyage du système professionnel et même à un remplacement de disque dur. Qui plus est, nous ne pouvions pas simplement traiter cela comme un cas isolé vu que nous avions découvert des traces de l’exécution du logiciel Computrace sur les ordinateurs personnels de certains de nos chercheurs et de l’entreprise. Par conséquent, nous avons décidé de réaliser une analyse en profondeur.

Au début de notre étude de Computrace, nous avions pensé qu’il s’agissait d’un programme malveillant car il utilise bon nombre d’astuces qui sont très prisées par les auteurs actuels de programmes malveillants : il exploite des techniques spécifiques de débogage et de lutte contre l’ingénierie inverse, il s’injecte dans la mémoire d’autres processus, il établit des communications secrètes, applique des correctifs à des fichiers système sur le disque, chiffre les fichiers de configuration et place un fichier exécutable Windows directement depuis le BIOS/le micrologiciel. C’est la raison pour laquelle le logiciel avait été détecté par le passé comme un programme malveillant, alors que de nos jours, la majorité des éditeurs de logiciels antivirus place les fichiers exécutables de Computrace dans une liste blanche.

Nous pensons que Computrace a été développé avec de bonnes intentions. Toutefois, nos recherches ont démontré que des vulnérabilités présentes dans le logiciel pouvaient permettre un détournement par des individus malintentionnés. Nous estimons qu’un outil aussi puissant doit intégrer une authentification et un chiffrement robustes. Rien ne nous a permis de confirmer que les modules de Computrace avaient été activés en secret sur les ordinateurs analysés. Mais il est clair qu’il existe beaucoup d’ordinateurs sur lesquels les agents Computrace ont été activés. Nous pensons qu’il incombe aux fabricants et à Absolute Software de prévenir ces personnes et de leur expliquer comment elles peuvent désactiver le logiciel si elles ne souhaitent pas l’utiliser. Dans le cas contraire, ces agents orphelins continueront de fonctionner à l’abri des regards et offriront des possibilités d’exploitation à distance.

Menaces sur les appareils mobiles

Au cours de ce trimestre, les menaces pour Android ont dépassé 99 % de l’ensemble des programmes malveillants pour appareils mobiles. Sur l’ensemble du trimestre, nous avons détecté :

  • 1 258 436 paquets d’installation,
  • 110 324 nouveaux programmes malveillants pour appareils mobiles,
  • 1 382 nouveaux chevaux de Troie bancaires pour appareils mobiles.

Chevaux de Troie bancaires pour appareils mobiles

Alors qu’au début du trimestre, nous ne comptions que 1 321 fichiers exécutables uniques de chevaux de Troie bancaires pour appareils mobiles, à la fin de ce même trimestre, ce chiffre était passé à 2 503. En d’autres termes, le nombre de chevaux de Troie de cette catégorie a pratiquement doublé en trois mois.

Cette menace demeure d’actualité pour la Russie, le Kazakhstan, la Biélorussie et l’Ukraine :




Répartition géographique des menaces bancaires pour appareils nomades au premier trimestre 2014

Top 10 des pays attaqués par des chevaux de Troie bancaires :

Pays % d’attaques
Russie 88,85%
Kazakhstan 3,00%
Ukraine 2,71%
Biélorussie 1,18%
Lituanie 0,62%
Bulgarie 0,60%
Azerbaïdjan 0,54%
Allemagne 0,39%
Lettonie 0,34%
Ouzbékistan 0,30%

Un de ces chevaux de Troie bancaires connu sous le nom de Faketoken a fait son entrée à la fin du trimestre dans le Top 20 des programmes malveillants pour appareils mobiles détectés par Kaspersky Lab. Ce programme malveillant vole les codes mTAN et travaille en équipe avec des chevaux de Troie bancaires pour ordinateur. Les chevaux de Troie bancaires utilisent une injection Web pour introduire sur la page de la banque chargée dans le navigateur une demande obligatoire de téléchargement d’une application Android qui serait indispensable pour garantir la sécurité des transactions réalisées et un lien vers Faketoken. Une fois que le programme malveillant pour appareils mobiles se trouve sur le smartphone de la victime, les individus malintentionnés peuvent utiliser les chevaux de Troie sur l’ordinateur pour accéder au compte en banque tandis que Faketoken leur permet de recevoir le code mTAN et de transférer l’argent vers leur propre compte.

Nous avons déjà évoqué à plusieurs reprises le fait que la majorité des programmes malveillants bancaires pour appareils mobiles sont créés et utilisés d’abord en Russie avant que les individus malintentionnés ne puissent les utiliser par la suite dans d’autres pays. Faketoken est l’un de ces programmes. Au premier trimestre 2014, nous avons enregistré des attaques impliquant ce programme malveillant contre des utilisateurs répartis dans 55 pays dont l’Allemagne, la Suède, la France, l’Italie, la Grande-Bretagne et les Etats-Unis.

Nouveautés des auteurs de virus

Bot géré via TOR

Le réseau anonyme TOR, qui repose sur un réseau de serveurs proxy, protège l’anonymat des utilisateurs et permet de placer dans la zone de domaine .onion des sites « anonymes » accessibles uniquement dans Tor. Nous avons découvert en février le premier cheval de Troie Android qui utilise un domaine dans la pseudo-zone .onion en tant que centre de commande.

Backdoor.AndroidOS.Torec.a est une modification du client Tor Orbot très utilisé dans lequel des individus malintentionnés ont ajouté un code. Afin que Backdoor.AndroidOS.Torec.a puisse utiliser Tor, il faut signaler qu’il a fallu plus de code que celui nécessaire à la fonction en elle-même.

Le cheval de Troie peut recevoir les commandes suivantes depuis le centre de commande :

  • lancer/arrêter l’interception des SMS entrants ;
  • lancer/arrêter le vol des SMS entrants ;
  • introduire des requêtes USSD ;
  • envoyer les données relatives au téléphone au centre de commande (numéro de téléphone, pays, IMEI, modèle, version du système d’exploitation) ;
  • envoyer la liste des applications installées sur l’appareil nomade au centre de commande ;
  • envoyer un SMS au numéro repris dans la commande.

Pourquoi les individus malintentionnés ont-ils besoin d’un réseau anonyme ? La réponse est simple : Il est impossible de mettre hors service un centre de commande installé dans Tor. Signalons que les auteurs de chevaux de Troie pour Android ont emprunté cette méthode aux auteurs de virus sous Windows.

Vols de portefeuilles électroniques

Les individus malintentionnés sont en permanence à la recherche de nouvelles méthodes pour voler de l’argent à l’aide de chevaux de Troie pour appareils nomades. Nous avons découvert en mars le cheval de Troie Trojan-SMS.AndroidOS.Waller.a qui, en plus des fonctions normales d’un cheval de Troie par SMS, est capable de voler l’argent dans les portefeuilles électroniques QIWI-Wallet des propriétaires des smartphones infectés.

Après avoir reçu la commande de circonstance du centre de commande, le cheval de Troie vérifie le solde du portefeuille électronique QIWI-Wallet. Pour ce faire, il envoie un SMS au numéro correspondant du système QIWI. Le cheval de Troie intercepte les SMS envoyés par le système et les transmet à ses maîtres.

Si le propriétaire de l’appareil infecté possède un compte QIWI-Wallet et si le cheval de Troie reçoit des informations qui confirme la présence d’argent, le cheval de Troie peut transférer l’argent depuis le compte de la victime vers un compte QIWI Wallet désigné par les individus malintentionnés. Sur instruction de ses maîtres, le cheval de Troie envoie un SMS à un numéro spécial du système QIWI. Ce SMS reprend le numéro du porte-monnaie des individus malintentionnés et la somme à transférer.

Pour l’instant, le cheval de Troie s’attaque uniquement aux utilisateurs russes. Toutefois, il permet aux individus malintentionnés de voler l’argent d’utilisateurs d’autres pays où il existe des systèmes de porte-monnaie électronique qui offre l’option d’administration via SMS.

Mauvaises nouvelles

Un cheval de Troie pour iOS a été découvert au premier trimestre 2014. Ce programme malveillant est un plug-in pour Cydia Substrate, une plateforme populaire pour les appareils rootés/jailbreakés. Dans bon nombre de partenariats, les développeurs d’applications qui insèrent des modules de publicité sont payés pour les publicités affichées. Le cheval de Troie détecté remplace l’ID des auteurs du programme par l’ID des individus malintentionnés dans certains modules de publicité. Tout l’argent obtenu pour l’affichage de la publicité est envoyé aux individus malintentionnés.

Des experts de Turquie ont découvert des vulnérabilités dont l’exploitation entraîne l’arrêt de l’appareil et son redémarrage. La vulnérabilité permet de créer une application Android avec un fichier AndroidManifest.xml qui contient dans n’importe quel champ « nom » un volume important de données. (AndroidManifest.xml est un fichier spécial que l’on retrouve dans toute application Android. Il renferme des informations relatives à l’application dont les autorisations d’accès aux fonctions du système, les index de traitement de divers événements, etc.). L’installation de l’application créée se déroule sans problème, mais, par exemple, l’invocation d’activité portant ce nom entraîne un échec dans l’application. Par exemple, il est possible de créer un module de traitement de SMS entrants portant un nom incorrect et après la réception d’un SMS quelconque, le téléphone ne sera plus opérationnel. L’appareil nomade redémarrera sans cesse et l’utilisateur n’aura qu’une seule option : revenir à la version inférieure. Cette action entraînera la perte des données de l’utilisateur sur l’appareil.

Courrier indésirable malveillant

Les messages non sollicités malveillants sont une méthode standard de diffusion des programmes malveillants pour appareils nomades. Cette méthode est particulièrement appréciée des individus malintentionnés spécialisés dans le vol d’argent des comptes en banque des utilisateurs à l’aide de chevaux de Troie pour appareils mobiles.

Un SMS indésirable malveillant contient, en général, soit une invitation à télécharger une application avec un lien vers un programme malveillant, soit un lien vers un site de diffusion de programmes malveillants sur lequel la victime est attirée à l’aide d’un prétexte quelconque. A l’instar de ce qui se passe dans le courrier indésirable malveillant, l’ingénierie sociale permet d’attirer l’attention des utilisateurs.

Courrier indésirable olympique

Les jeux olympiques figurent parmi les grands événements, cela ne fait aucun doute. Et les individus malintentionnés ont exploité l’intérêt des utilisateurs pour ceux-ci.

Nous avons enregistré en février une diffusion de SMS non sollicités contenant un lien vers une retransmission des compétitions depuis Sotchi. L’utilisateur inattentif qui cliquait sur le lien entraînait en réalité une tentative de téléchargement sur son smartphone d’un cheval de Troie que nous détectons sous le nom de HEUR:Trojan-SMS.AndroidOS.FakeInst.fb.

Ce cheval de Troie est capable, sur instruction des individus malintentionnés, d’envoyer un SMS au numéro d’une des plus grandes banques russes et de transférer de l’argent depuis la banque vers le compte de téléphonie mobile du propriétaire du smartphone infecté. Une fois sur ce compte, les individus malintentionnés peuvent transférer l’argent vers leurs porte-monnaie électronique. Tous les messages de la banque relatifs au transfert d’argent seront masqués.

Message non sollicité contenant un lien vers des sites malveillants

Les individus malintentionnés qui diffusent le cheval de Troie Opfake ont envoyé des SMS non sollicités contenant un lien vers des sites malveillants spécialement créés pour l’occasion.

Un de ces SMS signalait au destinataire qu’il avait reçu un colis et le lien menait vers un site aux couleurs du service des postes russes :

Dans d’autres diffusions, les individus malintentionnés exploitaient la popularité du site russe d’annonces gratuites Avito.ru. Les SMS contenaient les messages « Vous avez reçu une proposition pour votre offre » ou « Un acheteur s’est manifesté pour votre article » et des liens qui menaient vers une fausse page d’Avito.ru.









Pages malveillantes factices

L’utilisateur qui cliquait sur les liens des fausses pages entraînait une tentative de téléchargement du cheval de Troie Trojan-SMS.AndroidOS.Opfake.a sur son smartphone. Outre les diffusions de SMS payants, ce programme malveillant intervient dans la diffusion d’autres programmes malveillants pour appareils mobiles, et plus particulièrement le programme multifonctionnel Backdoor.Android.OS.Obad.a.

L’ingénierie sociale a toujours été un outil dangereux entre les mains des individus malintentionnés. Les utilisateurs doivent rester vigilants et éviter de cliquer sur des liens d’origine inconnue. Dans le cas contraire, le risque existe de tomber dans le piège d’individus malintentionnés et, en conséquence, de perdre des sommes considérables.

Statistiques

Répartition par type de programmes malveillants pour appareils mobiles




Répartition par type de programmes malveillants pour appareils mobiles, 1er trimestre 2014

Au premier trimestre 2014, la première place a été occupée pour la première fois par des modules de publicité dont la seule fonction était d’afficher des publicités. Ce genre de module est particulièrement populaire en Chine.

Les chevaux de Troie par SMS qui ont dominé pendant longtemps les programmes malveillants pour appareils mobiles sont passés en 2e position. Leur part est passée de 34 à 22 % au cours du trimestre. Toutefois, cette catégorie de programmes domine toujours le Top 20 des programmes malveillants pour appareils mobiles détectés.

Top 20 des programmes malveillants pour appareils mobiles

 

Nom % d’attaques
1 Trojan-SMS.AndroidOS.Stealer.a 22,77%
2 RiskTool.AndroidOS.MimobSMS.a 11,54%
3 Trojan-SMS.AndroidOS.OpFake.bo 11,30%
4 RiskTool.AndroidOS.Mobogen.a 10,50%
5 DangerousObject.Multi.Generic 9,83%
6 Trojan-SMS.AndroidOS.FakeInst.a 9,78%
7 Trojan-SMS.AndroidOS.OpFake.a 7,51%
8 Trojan-SMS.AndroidOS.Erop.a 7,09%
9 Trojan-SMS.AndroidOS.Agent.u 6,45%
10 Trojan-SMS.AndroidOS.FakeInst.ei 5,69%
11 Backdoor.AndroidOS.Fobus.a 5,30%
12 Trojan-SMS.AndroidOS.FakeInst.ff 4,58%
13 Trojan-Banker.AndroidOS.Faketoken.a 4,48%
14 AdWare.AndroidOS.Ganlet.a 3,53%
15 Trojan-SMS.AndroidOS.Agent.ao 2,75%
16 AdWare.AndroidOS.Viser.a 2,31%
17 Trojan-SMS.AndroidOS.Agent.dr 2,30%
18 Trojan-SMS.AndroidOS.Agent.fk 2,25%
19 RiskTool.AndroidOS.SMSreg.dd 2,12%
20 RiskTool.AndroidOS.SMSreg.eh 1,87%

Les nouvelles modifications du cheval de Troie Trojan-SMS.AndroidOS.Stealer.a ont contribué sensiblement à l’augmentation du nombre de nouveaux programmes malveillants pour appareils nomades au premier trimestre. Ce programme malveillant n’a rien de particulier. Ses fonctions sont les fonctions normales d’un cheval de Troie par SMS. Il occupe malgré tout la première position du Top 20 des menaces détectées.

Opfake.bo et Fakeinst.a, les leaders de l’année dernière, ne vont pas céder leur place aussi facilement et ils interviennent toujours dans des attaques contre les utilisateurs d’appareils mobiles, ce qui se traduit par un flot intarissable de nouveaux paquets d’installation malveillants.

Rappelons que le cheval de Troie bancaire Faketoken a fait son entrée pour la première fois en 13e position dans le Top 20 des programmes malveillants pour appareils mobiles de Kaspersky Lab.

Répartition géographique des menaces




Carte des tentatives d’infections par des programmes malveillants pour appareils mobiles
au premier trimestre 2014

Top 10 des pays attaqués

 

Pays % d’attaques
1 Russie 48,90%
2 Inde 5,23%
3 Kazakhstan 4,55%
4 Ukraine 3,27%
5 Royaume-Uni 2,79%
6 Allemagne 2,70%
7 Viet Nam 2,44%
8 Malaisie 1,79%
9 Espagne 1,58%
10 Pologne 1,54%

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau Kaspersky Security Network (KSN) qui répertorie en temps réel les cyber-attaques détectées par les solutions Kaspersky Lab. Les utilisateurs des solutions Kaspersky Lab ont donné leur accord au préalable pour que leurs données puissent être collectées et analysées par KSN. Ces utilisateurs, répartis dans 213 pays et territoires, participent à cet échange mondial d’informations sur l’activité des programmes malveillants.

Les cyber-menaces provenant du Web

Les statistiques présentées dans ce chapitre ont été obtenues via des anti-virus Kaspersky Lab capables de détecter les codes malveillants d’un site Internet. Ces sites infectés ont été créés spécialement par des cybercriminels. Ils peuvent être notamment des sites dont le contenu est fourni par les internautes (comme les forums par exemple) ou des sites dont les ressources légitimes ont été compromises.

Top 20 des programmes malveillants détectés sur Internet

Au premier trimestre 2014, la solution anti-virus de Kaspersky Lab a détecté 29 122 849 programmes malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).

Parmi tous les programmes malveillants impliqués dans des attaques ciblant les ordinateurs des internautes, Kaspersky Lab a identifié les 20 programmes les plus actifs. Ils sont responsables de 99,8% de des attaques sur Internet.

 

Nom* % de l’ensemble des attaques**
1 Malicious URL 81.73%
2 Trojan.Script.Generic 8.54%
3 AdWare.Win32.BetterSurf.b 2.29%
4 Trojan-Downloader.Script.Generic 1.29%
5 Trojan.Script.Iframer 1.21%
6 AdWare.Win32.MegaSearch.am 0.88%
7 Trojan.Win32.AntiFW.b 0.79%
8 AdWare.Win32.Agent.ahbx 0.52%
9 AdWare.Win32.Agent.aiyc 0.48%
10 Trojan.Win32.Generic 0.34%
11 AdWare.Win32.Yotoon.heur 0.28%
12 Trojan.Win32.Agent.aduro 0.23%
13 Adware.Win32.Amonetize.heur 0.21%
14 Trojan-Downloader.Win32.Generic 0.21%
15 Trojan-Clicker.JS.FbLiker.k 0.18%
16 Trojan.JS.Iframe.ahk 0.13%
17 AdWare.Win32.Agent.aiwa 0.13%
18 Exploit.Script.Blocker 0.12%
19 AdWare.MSIL.DomaIQ.pef 0.12%
20 Exploit.Script.Generic 0.10%

* Verdicts provenant du module de l’anti-virus détectant les menaces provenant du Web. Informations transmises par les utilisateurs ayant donné leur accord pour partager les données de leurs solutions Kaspersky Lab.

** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Le Top 20 contient principalement des programmes malveillants qui interviennent dans des attaques drive-by ou via des messages publicitaires ciblés (adware). Par rapport au trimestre dernier, le nombre de adwares malveillants est passé de 7 à 9.

Parmi ce classement, il est important de mentionner tout particulièrement le programme : Trojan.Win32.Agent.aduro (12e position). Ce programme malveillant se propage via des sites sur lesquels l’internaute est invité à télécharger un plug-in du navigateur afin de pouvoir réaliser des achats en ligne.



En cliquant sur download, l’internaute déclenche le téléchargement de Trojan.Win32.Agent.aduro. Ce cheval de Troie va télécharger ensuite le plug-in de publicité et un programme de minage de la crypto-monnaie : Litecoin, à l’insu de l’internaute. Ainsi, les cybercriminels peuvent exploiter les ressources de l’ordinateur infecté afin de générer des crypto-monnaie pour leur propre porte-monnaie virtuel.

Le script malveillant Trojan-Clicker.JS.FbLiker.k (15e position) est également intéressant. On le trouve principalement dans des sites vietnamiens de divertissements et dans des ressources en ligne proposant des films et des applications à télécharger. Quand l’internaute arrive sur l’un de ces sites, le script imite l’action de l’internaute qui cliquerait sur le « j’aime » d’une page Facebook. Cette action apparaît dans le fil d’actualités des amis et du profil de l’internaute en question. Le nombre de mentions « J’aime » pour une page donnée détermine sa place dans les recherches sur Facebook.

Top 10 des pays ayant le plus de ressources Web infectées par des malwares

La localisation physique des ressources en ligne utilisées pour des attaques et bloquées par les anti-virus (pages Web redirigeant vers des exploits, sites contenant des exploits et autres malwares, centres de commande de réseaux de zombies), ont permis de d’élaborer les statistiques suivantes. Signalons que chaque host peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, Kaspersky Lab a utilisé une technique de comparaison entre le nom de domaine et l’adresse IP authentique sur laquelle se trouve ce domaine. A partir de là, il est possible d’établir l’emplacement géographique de cette adresse IP (GEOIP).

Au premier trimestre 2014, les solutions de Kaspersky Lab ont bloqué 353 216 351 attaques provenant de ressources Internet de différents pays à travers le monde. 83,4% des ressources en lignes utilisées pour propager des malwares dont essentiellement localisées dans 10 pays. Ce chiffre est toutefois en recul de 0,3% par rapport au trimestre précédent.




Répartition par pays des sources d’attaques Internet, 1er trimestre 2014

Ce classement n’a pratiquement pas changé au cours des derniers mois. Il est important de signaler que 39% des attaques via Internet bloquées par les produits de Kaspersky Lab proviennent de ressources malveillantes situées aux Etats-Unis et en Russie.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des internautes dans différents pays, Kaspersky Lab a calculé combien d’utilisateurs des solutions de Kaspersky Lab dans chacun de ces pays ont eu un message annonçant la détection d’une attaque. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

 

Pays* % d’utilisateurs uniques**
1 Viet Nam 51,44%
2 Russie 49,38%
3 Kazakhstan 47,56%
4 Arménie 45,21%
5 Mongolie 44,74%
6 Ukraine 43,63%
7 Azerbaïdjan 42,64%
8 Biélorussie 39,40%
9 Moldavie 38,04%
10 Kirghizstan 35,87%
11 Tadjikistan 33,20%
12 Géorgie 32,38%
13 Croatie 31,85%
14 Qatar 31,65%
15 Algérie 31,44%
16 Turquie 31,31%
17 Lituanie 30,80%
18 Grèce 30,65%
19 Ouzbékistan 30,53%
20 Espagne 30,47%

Verdicts provenant du module de l’anti-virus détectant les menaces provenant du Web. Informations transmises par les utilisateurs ayant donné leur accord pour partager les données de leurs solutions Kaspersky Lab.

*Pour les calculs, Kaspersky Lab a exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Au premier trimestre 2014, le leader du classement a changé : le Vietnam, où 51,4 % des utilisateurs ont été exposés à des attaques, a décroché la première position. La Mongolie fait son entrée en 5e position avec un indice de 44,7 % d’utilisateurs attaqués. Les autres positions du Top 10 sont occupées comme d’habitude par la Russie et des pays de la CEI.

Les pays où naviguer sur Internet est le moins dangereux sont : Singapour (10,5 %), le Japon (13,2 %), la Suède (14,5 %), la République d’Afrique du sud (15,6 %), Taïwan (16,1 %), le Danemark (16,4 %), la Finlande (16,8 %), les Pays-Bas (17,7 %) et la Norvège (19,4 %).




*pourcentage de l’ensemble des utilisateurs uniques attaqués

En moyenne au cours du trimestre, 33,2% des ordinateurs des internautes à travers le monde ont été exposés au moins une fois à une attaque sur Internet.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les programmes malveillants qui se sont introduit sur les ordinateurs par d’autres moyens qu’Internet, comme le courrier électronique ou les ports réseau.

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Au premier trimestre 2014, les solutions antivirus de Kaspersky Lab ont bloqué 645 809 230 attaques contre les ordinateurs des utilisateurs. 135 227 372 programmes malveillants ou potentiellement indésirables uniques ont été recensés dans ces incidents.

Top 20 des programmes malveillants découverts sur les ordinateurs sur les ordinateurs des utilisateurs

 

Nom % d’utilisateurs uniques attaqués*
1 DangerousObject.Multi.Generic 20,37%
2 Trojan.Win32.Generic 18,35%
3 AdWare.Win32.Agent.ahbx 12,29%
4 Trojan.Win32.AutoRun.gen 7,38%
5 AdWare.Win32.BetterSurf.b 6,67%
6 Adware.Win32.Amonetize.heur 5,87%
7 Virus.Win32.Sality.gen 5,78%
8 Worm.VBS.Dinihou.r 5,36%
9 AdWare.Win32.Yotoon.heur 5,02%
10 Trojan-Dropper.Win32.Agent.jkcd 4,94%
11 Worm.Win32.Debris.a 3,40%
12 Trojan.Win32.Starter.lgb 3,32%
13 Exploit.Java.Generic 3,00%
14 AdWare.Win32.Skyli.a 2,80%
15 Trojan.Win32.AntiFW.b 2,38%
16 Virus.Win32.Nimnul.a 2,23%
17 Trojan.WinLNK.Runner.ea 2,22%
18 AdWare.Win32.DelBar.a 2,21%
19 AdWare.Win32.BrainInst.heur 2,11%
20 Worm.Script.Generic 2,06%

Verdicts provenant des modules OAS et ODS de l’anti-virus. Informations transmises par les utilisateurs ayant donné leur accord pour partager les données de leurs solutions Kaspersky Lab.

* Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

En général, ce classement reprend des verdicts attribués aux adwares, aux worms propagés via des clés USB, et des virus.

La part des virus dans le Top 20 continue à diminuer doucement mais sûrement. Au premier trimestre les virus étaient en majorité : Virus.Win32.Sality.gen et Virus.Win32.Nimnul.a avec un indice de 8% (à titre de comparaison, cette valeur avait atteint 9,1 % au 4e trimestre).

Le worm nommé Worm.VBS.Dinihou.r, qui est un script VBS apparu vers la fin de l’année dernière, fait son entrée en 8e position. Ce worm se propage en particulier via le courrier indésirable. Il remplit toutes les fonctions d’une back door, depuis le lancement via la ligne de commande jusqu’au téléchargement d’un fichier déterminé sur le serveur. De plus, il infecte les clés USB connectées à l’ordinateur.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

 

Pays* % d’utilisateurs uniques**
1 Viet Nam 60,30%
2 Mongolie 56,65%
3 Népal 54,42%
4 Algérie 54,38%
5 Yémen 53,76%
6 Bangladesh 53,63%
7 Égypte 51,30%
8 Irak 50,95%
9 Afghanistan 50,86%
10 Pakistan 49,79%
11 Inde 49,02%
12 Soudan 48,76%
13 Tunisie 48,47%
14 Djibouti 48,27%
15 Laos 47,40%
16 Syrie 46,94%
17 Birmanie 46,92%
18 Cambodge 46,91%
19 Maroc 46,01%
20 Indonésie 45,61%

Verdicts provenant du module de l’anti-virus détectant les menaces provenant du Web. Informations transmises par les utilisateurs ayant donné leur accord pour partager les données de leurs solutions Kaspersky Lab. Kaspersky Lab a également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.

*Pour les calculs, Kaspersky Lab a exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Les pays d’Afrique, du Moyen-Orient et d’Asie du Sud-Est maintiennent leurs positions dans ce classement. A l’instar du trimestre précédent, nous retrouvons le Vietnam en tête. La Mongolie conserve sa deuxième position. Le Népal progresse de la 4e à la 3e position tandis que le Bangladesh chute de la 3e à la 6e position. Le Maroc est une nouveauté dans le classement.




*pourcentage de l’ensemble des utilisateurs uniques attaqués

Parmi les pays les courant le moins de risque d’infections locales, il y a : le Japon (12,6 %), la Suède (15 %), la Finlande (15,3 %), le Danemark (15,4 %), Singapour (18,2 %), les Pays-Bas (19,1 %) et la République tchèque (19,5 %).

En moyenne à travers le monde, des menaces locales ont été enregistrées au moins une fois au cours de trimestre sur 34,7 % des ordinateurs des utilisateurs.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *