Évolution des menaces informatiques au 2e trimestre 2015

Sommaire

Chiffres du trimestre

  • D’après KSN, les solutions de Kaspersky Lab ont déjoué 379 972 834 attaques organisées depuis divers sites répartis à travers le monde.
  • Notre antivirus Internet a détecté 26 084 253 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).
  • 60 034 577 URL uniques ayant provoqué un déclenchement de l’antivirus Internet ont été recensées.
  • 51% des attaques Internet bloquées par nos produits ont été organisées depuis des ressources malveillantes situées en Russie.
  • 5 903 377 notifications de tentatives d’infection par des malwares développés pour le vol d’argent via les systèmes de banque électronique ont été enregistrées.
  • 110 731 713 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers.
  • Les solutions de Kaspersky Lab pour la protection des appareils mobiles ont détecté les éléments suivants:
    • 1 048 129 kits d’installation;
    • 291 887 nouveaux malwares pour appareils mobiles;
    • 630 Trojans bancaires pour appareils mobiles

Aperçu

Attaques ciblées et campagnes de malwares

Attention aux singes

Nous avons publié récemment notre analyse de la campagne CozyDuke, une nouvelle campagne de cyber espionnage APT de la famille « Duke », où nous retrouvons MiniDuke, CosmicDuke et OnionDuke. CozyDuke (connu également sous le nom ‘CozyBear’, ‘CozyCar’ ou ‘Office Monkeys’) cible des organisations gouvernementales et des entreprises aux Etats-Unis, en Allemagne, en Corée du Sud et en Ouzbékistan.

L’attaque exploite une série de techniques de pointe, dont le chiffrement, des méthodes de lutte contre la détection et un ensemble bien développé de composants dont la structure évoque celle de menaces antérieures au sein de la famille ‘Duke’.

Toutefois, CozyDuke se distingue vraiment par son utilisation de l’ingénierie sociale pour mettre un pied dans les organisations ciblées. Certains des messages de spear-phishing envoyés par les attaquants contiennent un lien vers des sites piratés qui hébergent une archive ZIP. Certains de ces sites sont des sites légitimes et de renom. Cette archive contient un fichier RAR SFX qui installe le malware tout en affichant un PDF vide en guise de leurre. Une autre technique employée consiste à envoyer de fausses vidéos Flash en tant que pièces jointes de message. Parmi un des exemples les plus frappants (auquel le malware doit un de ses noms), citons ‘OfficeMonkeys LOL Video.zip’. Quand ce fichier est exécuté, il installe un exécutable CozyDuke sur l’ordinateur tandis qu’une vidéo « comique » de singes travaillant dans un bureau est présentée. Ce contenu encourage les victimes à faire circuler la vidéo parmi leurs collègues, ce qui augmente le nombre d’ordinateurs infectés.

Le recours à l’ingénierie sociale pour amener les membres du personnel à réaliser une action qui met en danger la sécurité de l’entreprise, que ce soit dans le cas de CozyDuke ou de nombreuses autres attaques ciblées, souligne l’importance que doit avoir la formation du personnel dans toute stratégie de sécurité d’une entreprise.

Naikon: collecte de renseignements géopolitiques

Nous avons publié en mai notre rapport sur l’APT Naikon. Naikon est exploité dans des campagnes menées contre des cibles sensibles en Asie du Sud-Est et autour de la mer de Chine. Il semblerait que les attaquants parlent chinois et qu’ils sont actifs depuis au moins cinq ans. Ils se concentrent sur des organisations gouvernementales de haut niveau, ainsi que sur des organisations civiles et militaires aux Philippines, en Malaisie, au Cambodge, en Indonésie, au Vietnam, au Myanmar, à Singapour, au Népal, en Thaïlande, au Laos et en Chine.

À l’instar de ce que l’on peut observer dans de nombreuses autres campagnes de ce genre, les attaquants utilisent le spear-phishing afin d’amener le personnel de ces organisations à charger le malware. Les messages contiennent un fichier en pièce jointe qui suscitera l’intérêt des destinataires. Le fichier ressemble à un document Word standard, mais il s’agit en réalité d’un fichier exécutable à double extension, ou d’un exécutable qui utilise le mécanisme RTLO (forcer l’écriture de droite à gauche) pour dissimuler son extension réelle. Si la victime clique sur le fichier, un spyware est installé sur l’ordinateur tandis que l’écran affiche un document leurre pour éviter d’attirer l’attention.

Le module principal de Naikon est un outil d’administration à distance : ce module prend en charge 48 commandes pour prendre le contrôle des ordinateurs infectés. Il s’agit de commandes qui permettent de réaliser un inventaire complet, de charger ou de décharger des données ou d’installer des modules complémentaires. De plus, Naikon utilise parfois des enregistreurs de frappes afin d’obtenir les informations d’authentification des employés.

Chaque pays ciblé est confié à un opérateur qui sera en mesure d’exploiter les particularités culturelles locales, par exemple la coutume d’utiliser des comptes de messagerie personnels pour le travail. Les opérateurs utilisent également un serveur proxy spécifique au sein des frontières du pays afin de gérer les connections avec les ordinateurs infectés et de transmettre les données aux serveurs de commande des attaquants.

Notre rapport principal et notre rapport de suivi sont disponibles sur notre site Internet.

Espionner les espions

Lors de nos travaux de recherche sur Naikon, nous avons détecté les activités du groupe APT Hellsing. Ce groupe vise principalement des organisations gouvernementales et diplomatiques établies en Asie. La majorité des victimes a été recensée en Malaisie et aux Philippines. Mais nous avons également observé des victimes en Inde, en Indonésie et aux Etats-Unis.

Hellsing en lui-même n’est qu’un petit groupe de cyber espionnage qui ne fait montre d’aucune prouesse technologique (une vingtaine d’organisations ont été ciblées par Hellsing). Ce qui le rend intéressant, c’est sa décision de contre-attaquer après avoir été victime d’une attaque de spear-phishing orchestrée par le groupe APT Naikon. Le destinataire ciblé par le message avait contacté l’expéditeur pour mettre son authenticité en doute. Il avait alors reçu une réponse de l’attaquant, mais n’avait pas ouvert la pièce jointe. Il a, au contraire, envoyé un message aux attaquants avec son propre malware. Il ne fait aucun doute que le groupe Hellsing, après s’être rendu compte qu’il était ciblé, a voulu identifier les attaquants et récolter des renseignements à leur sujet.

Ce n’est pas la première fois que nous voyons un groupe APT empiéter sur un autre, par exemple en volant le carnet d’adresses des victimes afin d’envoyer des messages à tous les membres de ces listes. Ceci étant dit, les attaques entre groupes ATP demeurent inhabituelles.

La course de Grabit

Nombreuses sont les campagnes ciblées qui visent de grandes entreprises, des agences gouvernementales ou d’autres organisations de haut niveau. Il est dès lors facile de croire, en lisant les journaux, que ces organisations sont les seules qui intéressent les attaquants. Toutefois, une des campagnes que nous avons suivie au trimestre dernier montre clairement que les attaquants ne sont pas intéressés uniquement par les « gros poissons ». Toute entreprise est une cible potentielle, que ce soit pour ses propres actifs ou en tant que point d’accès à une autre organisation.

La campagne de cyberespionnage Grabit a été mise au point pour voler des données dans des petites et moyennes entreprises établies principalement en Thaïlande, au Vietnam et en Inde. Toutefois, on retrouve également des victimes aux Etats-Unis, aux Emirats arabes unis, en Turquie, en Russie, en Chine, en Allemagne et ailleurs. La chimie, les nanotechnologies, l’éducation, l’agriculture, les médias et la construction figurent parmi les domaines d’activité ciblés. Selon nos estimations, le groupe à l’origine de ces attaques aurait volé près de 10 000 fichiers.

Le malware est propagé sous la forme d’un document Word joint à un message. Il contient une macro malveillante baptisée ‘AutoOpen’. Cette macro ouvre un socket sur TCP et envoie une requête HTTP à un serveur distant qui a été piraté par le groupe et qui l’utilise en tant que hub malveillant. Ensuite, le programme utilisé pour les opérations d’espionnage est téléchargé depuis ce serveur. Dans certains cas, la macro est protégée par un mot de passe (les attaquants semblent avoir oublié qu’un fichier DOC est en en fait une archive et que lorsqu’il est ouvert dans un éditeur, les chaînes de la macro apparaissent en clair). Les attaquants commandent les ordinateurs infectés à l’aide d’outils d’espionnage disponibles dans le commerce comme HawkEye (distribué par HawkEyeProducts). Ils utilisent également un certain nombre d’outils d’administration à distance.

Les attaquants ont mis en œuvre certaines techniques pour compliquer l’analyse de Grabit, notamment des tailles de code variables, l’obfuscation de code et le chiffrement. Mais parallèlement à cela, ils oublient de dissimuler leurs traces dans le système. Cela donne un « géant d’argile », ce qui laisse croire que les attaquants n’ont pas écrit tout le code eux-mêmes.

Le retour de Duqu

Au printemps 2015, lors d’une opération de nettoyage organisée dans ses installations, Kaspersky Lab a identifié une cyber intrusion qui touchait plusieurs de ses systèmes internes. L’enquête menée par la suite a permis de mettre à jour le développement d’une nouvelle plateforme malveillante par l’un des groupes APT les plus doués, les plus mystérieux et les plus puissants au monde : Duqu, parfois présenté comme le demi-frère de Stuxnet. Nous avons baptisé cette plateforme ‘Duqu 2.0’.

Dans le cas de Kaspersky Lab, l’attaque exploitait une vulnérabilité 0jour dans le noyau Windows (éliminée par Microsoft le 9 juin 2015) et peut-être deux autres (éliminées depuis lors) de type 0jour également à l’époque. Les attaquants cherchaient avant tout à espionner sur les technologies de Kaspersky Lab, les recherches en cours et les processus internes.

Mais Kaspersky Lab n’était pas la seule cible. Certaines infections Duqu 2.0 étaient liées aux événements P5+1 en rapport avec les négociations sur le nucléaire iranien. Il semblerait que les attaquants avaient organisé des attaques dans quelques-uns des lieux où ces pourparlers de haut niveau avaient lieu. Le groupe avait également lancé une attaque similaire contre la commémoration du 70e anniversaire de la libération du camp d’Auschwitz-Birkenau.

Une des principales caractéristiques de Duqu 2.0 était son manque de persistance : il ne laissait pratiquement aucune trace dans le système. Le malware n’introduisait aucune modification dans le disque ou les paramètres système : la plateforme malveillante avait été conçue de telle sorte qu’elle survivait presqu’exclusivement dans la mémoire des systèmes infectés. Ceci laisse penser que les attaquants avaient confiance en leur capacité à maintenir leur présence dans le système, même si l’ordinateur d’une victime était redémarré et que le malware était effacé de la mémoire.

Le dossier technique consacré à Duqu et l’analyse du module de persistance sont disponibles sur notre site Internet.

Histoires de malware

Le jeu de cache-cache de Simda

Au mois d’avril, Kaspersky Lab a participé à une opération visant à mettre le réseau de zombies Simda hors d’état de nuire. Cette opération était coordonnée par le Complexe mondial Interpol pour l’innovation. L’enquête avait été lancée par Microsoft, avant d’impliquer d’autres participants dont Trend Micro, le Cyber Defense Institute, des membres de la NHTCU des Pays-Bas (brigade nationale de lutte contre les délits technologiques), du FBI, de la police grand-ducale section Nouvelles technologies du Luxembourg et du bureau « K » de lutte contre la cybercriminalité du ministère russe de l’Intérieur, avec le bureau central national d’Interpol à Moscou.

L’opération avait débouché sur la mise hors service de 14 serveurs aux Pays-Bas, aux Etats-Unis, au Luxembourg, en Pologne et en Russie. Les premières analyses des journaux des serveurs neutralisés via la méthode du sink-hole avaient indiqué que le réseau de zombies couvrait 190 pays.

Les bots étaient distribués via une série de sites Internet infectés qui redirigeaient les visiteurs vers des kits d’exploitation. Ces bots téléchargeaient et exécutaient des composants additionnels depuis leurs propres serveurs de mise à jour et étaient capables de modifier le fichier hosts de l’ordinateur infecté. De cette manière, les ordinateurs qui ont été infectés peuvent continuer d’envoyer des requêtes HTTP aux serveurs malveillants pour signaler qu’ils peuvent à nouveau être infectés à l’aide des mêmes kits d’exploitation.

Bien que le réseau de zombies Simda était relativement grand (près de 770 000 ordinateurs infectés), ses auteurs avaient déployé de gros efforts pour le faire passer inaperçu aux yeux des systèmes de lutte contre les malwares. Le malware est en effet capable de détecter l’émulation, les outils de sécurité et les machines virtuelles ; il utilise plusieurs méthodes qui lui permettent de détecter les environnements de bac à sable de recherche dans le but de tromper les chercheurs en utilisant toutes les ressources du processeur ou en signalant l’adresse IP externe du réseau de recherche au propriétaire du réseau de zombies. Il intègre également le polymorphisme côté serveur.

Simda se désactive également après une brève période. Ceci s’explique par la raison d’être de ce réseau de zombies en particulier : il s’agit d’un mécanisme de remise conçu pour diffuser des malwares et autres programmes potentiellement indésirables. Les opérateurs voulaient garantir que seul le malware de leurs clients serait installé sur les ordinateurs infectés.

Les produits de Kaspersky Lab détectent à l’heure actuelle des centaines de milliers de modifications de Simda, ainsi que différents malwares tiers diffusés via le réseau de zombies Simda. Vous pouvez utiliser notre outil de balayage IP du bot Simda afin de savoir si votre adresse IP s’est connectée par le passé à un serveur de commande de Simda.

Une autre facette du phishing

Au début de l’année 2014, Wang Jing, un doctorant à l’université technologique Nanyang de Singapour, découvrait une grave vulnérabilité dans les protocoles OAuth et OpenID. Il avait découvert ce qu’il avait baptisé des « redirections furtives » qui permettaient à un attaquant de voler des données après l’authentification (la synthèse du problème et un lien vers le blog de Wang Jing figurent sur Threatpost).

Nous avons découvert récemment une campagne de phishing qui exploite la vulnérabilité OAuth. OAuth permet aux clients de services en ligne d’octroyer un accès limité à des tiers sur leurs ressources protégées sans partager leurs informations d’authentification. Ce protocole est souvent utilisé par les applications sur les réseaux sociaux, par exemple pour pouvoir accéder aux contacts ou à d’autres données d’un utilisateur.

Le client de Kaspersky Lab qui avait signalé l’attaque avait reçu un message électronique signalant qu’une personne avait utilisé son ID Windows Live et l’invitant à cliquer sur le lien vers le site Windows Live et à suivre les mesures de sécurité qui y étaient décrites.

À première vue, cela ressemble à une technique de phishing standard qui permettrait de rediriger la victime vers un faux site. Mais dans ce cas-ci, le site sur lequel la victime arrivait était légitime. Les informations d’authentification de la victime ne sont pas volées et la session est ouverte sur le site légitime. Toutefois, après l’autorisation, la victime reçoit une demande d’une application inconnue pour toute une série d’autorisations. Il peut s’agir d’autorisations pour l’ouverture de session automatique, l’accès aux informations du profil, la liste des contacts et les adresses de messagerie. Si la victime accepte d’octroyer ces autorisations, les cybercriminels peuvent accéder à ses informations personnelles. Et ils pourront exploiter ces informations pour diffuser du courrier indésirable ou des liens de phishing ou réaliser d’autres actions frauduleuses.

Nous vous conseillons d’adopter les mesures suivantes pour protéger vos données personnelles.

  • Ne cliquez pas sur les liens que vous recevez par courrier électronique ou via la messagerie des réseaux sociaux.
  • Bloquez l’accès des applications douteuses à vos données.
  • Avant d’accepter une telle demande, lisez attentivement la description des autorisations d’accès sollicitées par une application.
  • Lisez les avis et les commentaires sur l’application diffusés sur Internet.
  • Examinez les autorisations des applications déjà installées et modifiez les paramètres si nécessaire.

Sécurité à la traîne dans les villes intelligentes

Au cours de ces dernières années, les gouvernements et les autorités judiciaires et policières ont favorisé le déploiement de systèmes de vidéosurveillance dans les lieux publics pour garantir notre sécurité. La majorité d’entre nous accepte ce compromis raisonnable qui nous prive d’un peu de notre vie privée pour une meilleure sécurité. Toutefois, cela suppose que les données récoltées via ces technologies sont traitées de manière responsable et sécurisée afin que les avantages ne soient pas noyés par les dangers potentiels.

De nombreuses caméras de vidéosurveillance établissent une connexion sans fil à Internet, ce qui permet aux autorités de les surveiller à distance. Toutefois, cette technologie n’est pas sûre : des cybercriminels pourraient observer passivement les images des caméras de sécurité, injecter un code dans le système afin de remplacer les images d’une caméra par d’autres, voire mettre le système hors ligne. Vasilios Hioureas de chez Kaspersky Lab et Thomas Kinsey de chez Exigent Systems ont réalisé récemment un travail sur les faiblesses potentielles au niveau de la sécurité des systèmes de vidéosurveillance d’une ville. Le rapport de Vasilios Hioureas est disponible sur notre site Internet).

Nos deux chercheurs ont commencés par examiner le matériel de vidéosurveillance installé en plusieurs endroits de la ville. Malheureusement, aucun effort n’avait été réalisé pour dissimuler l’identification des caméras, si bien que les chercheurs ont pu définir la marque et le modèle des caméras, étudier leurs caractéristiques techniques et recréer leur propre réseau en laboratoire. Le matériel utilisé fournissait des contrôles de sécurité efficaces, mais encore aurait-il fallu qu’ils soient mis en œuvre. Les paquets de données envoyés via le réseau maillé n’étaient pas chiffrés. Cela signifie qu’un attaquant pouvait créer sa propre version du logiciel et manipuler les données en transit.

Notons que les deux chercheurs n’ont pas tenté de pirater le vrai réseau. Ils se sont contentés d’analyser le matériel et les protocoles de communication et ils ont recréé un modèle. La topologie d’un réseau de caméras de vidéosurveillance est différente de celle d’un réseau sans fil domestique standard. Dans un réseau domestique, tous les périphériques se connectent à Internet et entre eux via un routeur. En théorie, tout périphérique connecté à ce routeur pourrait amener les autres périphériques à croire qu’il est le routeur et pourrait surveiller ou modifier les données en réalisant une attaque de type de l’homme au milieu.

Un réseau de caméras de surveillance est plus compliqué en raison de la distance que les données doivent parcourir. Les données doivent parcourir un trajet qui les mène depuis une caméra quelconque jusqu’à un concentrateur (celui-ci pourrait être un commissariat de police dans une mise en œuvre réelle) via une série de nœuds. Le trafic respecte la loi du moindre effort où chaque nœud est capable de communiquer avec plusieurs autres en vue de choisir le chemin le plus facile jusqu’au concentrateur.

Vasilios Hioureas et Thomas Kinsey ont construit une série de faux nœuds qui visaient à offrir une ligne de communication directe vers une simulation de commissariat. Comme ils connaissaient tous les protocoles utilisés sur le réseau, ils ont pu créer un nœud de type homme au milieu qui semblait proposer le chemin le plus facile, si bien que les autres nœuds le choisissaient pour transmettre leurs données.

Des attaquants pourraient adopter un stratagème similaire pour envoyer de fausses images à la police. Ils pourraient ainsi faire croire qu’un incident est en train de se dérouler à un endroit, provoquant une distraction pour la police tandis que le véritable incident se déroule dans un autre quartier de la ville.

Les chercheurs ont signalé ces problèmes aux autorités responsables des systèmes de vidéosurveillance en question et ces dernières sont occupées à éliminer les problèmes de sécurité. En règle générale, il est important de respecter les points suivants dans ce genre de réseau : il faut utiliser le chiffrement WPA, protégé par un mot de passe robuste ; les étiquettes doivent être retirées du matériel afin de priver les attaquants éventuels d’une source d’informations sur le fonctionnement du matériel ; les images transmises doivent être chiffrées quand elles transitent sur le réseau.

Le point à retenir est que le numérique intervient de plus en plus dans différents aspects de notre vie quotidienne : si la sécurité n’est pas prise en compte au moment de la conception, les dangers potentiels peuvent être surprenants et les initiatives visant à rectifier les mesures de sécurité ne sont pas toujours simples à mettre en œuvre. L’initiative Securing Smart Cities qui bénéficie de l’appui de Kaspersky Lab vise à aider les développeurs de cités intelligentes à ne pas perdre de vue les questions de cyber sécurité.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les malwares Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des malwares.

Menaces sur les appareils mobiles

Les bankers mobiles demeurent toujours une des principales menaces pour les appareils mobiles. Dans le rapport consacré au premier trimestre 2015, nous avions évoqué le Trojan Trojan-SMS.AndroidOS.OpFake.cc qui était capable d’attaquer au moins 29 applications bancaires et financières. La version la plus récente de ce Trojan est désormais capable d’attaquer 114 applications bancaires et financières. Son objectif principal est le vol du nom d’utilisateur et du mot de passe. Il s’en prend également à quelques clients de messagerie connus avec le même objectif.

Signalons également Trojan-Spy.AndroidOS.SmsThief.fc. Des individus malintentionnés ont ajouté leur code à une application bancaire originale, sans nuire au fonctionnement de celle-ci. C’est ce qui a compliqué la détection de ce Trojan.

Un nouveau Trojan pour iOS a été détecté au deuxième trimestre: il s’agit de Trojan.IphoneOS.FakeTimer.a. Il est intéressant en ceci que la version pour Android existe déjà depuis plusieurs années. FakeTimer.a. attaque même les appareils qui n’ont pas été jailbreakés. Sa fonction est relativement primitive: il s’agit d’une application de phishing traditionnelle créée pour voler de l’argent aux utilisateurs au Japon.

Au cours de ce trimestre, les Trojans capables d’utiliser le privilège root pour afficher des publicités aux utilisateurs ou pour installer des logiciels publicitaires ont été particulièrement présents au cours du trimestre. Ainsi à l’issue du trimestre, le Top 20 des malwares pour appareils mobiles compte 6 malwares de cette catégorie.

Nombre de nouvelles menaces pour appareils mobiles

Au deuxième trimestre 2015, Kaspersky Lab a découvert 291 887 nouvelles menaces pour appareils mobiles, soit 2,8 fois plus qu’au premier trimestre 2015.

Le nombre de paquets d’installation de programmes malveillants détectés a atteint quant à lui 1 048 129, soit 7 fois plus qu’au trimestre précédent.

Nombre de kits d’installation malveillants
et de nouveaux malwares mobiles détectés (T3 2014 – T1 2015).

Répartition des malwares détectés par type

Répartition des nouveaux malwares mobiles détectés par type,
deuxième trimestre 2015

La catégorie Risktool occupe la tête du classement des objets malveillants pour appareils mobiles détectés au deuxième trimestre 2015 (44,6%). Il s’agit d’applications légitimes qui pourraient présenter un danger pour les utilisateurs. En effet, une utilisation maladroite par le propriétaire du smartphone ou une exploitation par un individu malintentionné pourrait provoquer des pertes financières.

La deuxième position revient aux logiciels publicitaires potentiellement indésirables (19%).

Les Trojans par SMS qui ont mené pendant longtemps ce classement n’occupent que la quatrième position au deuxième trimestre avec 8,1 %. Cela représente un recul de 12,9 % par rapport au premier trimestre. La réduction de la part de ces malwares s’explique en partie par le fait que les personnes qui diffusaient les Trojans par SMS ont soit commencé à utiliser des méthodes plus propres pour gagner de l’argent (comme en témoigne l’augmentation de la part de RiskTool), soit préféré utiliser des malwares d’un autre type. Ainsi, la part de Trojan est passée de 9,8 % au premier trimestre à 12,4 % au deuxième.

Top 20 des malwares pour appareils mobiles

Nous vous rappelons qu’à partir de ce trimestre, nous publions le classement des malwares uniquement. Il ne reprend pas les programmes potentiellement dangereux ou indésirables comme la catégorie RiskTool ou les logiciels publicitaires.

  Nom Pourcentage d’attaques*
1 DangerousObject.Multi.Generic 17,5%
2 Trojan-SMS.AndroidOS.Podec.a 9,7%
3 Trojan-SMS.AndroidOS.Opfake.a 8,0%
4 Backdoor.AndroidOS.Obad.f 7,3%
5 Trojan-Downloader.AndroidOS.Leech.a 7,2%
6 Exploit.AndroidOS.Lotoor.be 5,7%
7 Trojan-Spy.AndroidOS.Agent.el 5,5%
8 Trojan.AndroidOS.Ztorg.a 3,1%
9 Trojan.AndroidOS.Rootnik.a 3,0%
10 Trojan-Dropper.AndroidOS.Gorpo.a 2,9%
11 Trojan.AndroidOS.Fadeb.a 2,7%
12 Trojan-SMS.AndroidOS.Gudex.e 2,5%
13 Trojan-SMS.AndroidOS.Stealer.a 2,5%
14 Exploit.AndroidOS.Lotoor.a 2,1%
15 Trojan-SMS.AndroidOS.Opfake.bo 1,6%
16 Trojan.AndroidOS.Ztorg.b 1,6%
17 Trojan.AndroidOS.Mobtes.b 1,6%
18 Trojan-SMS.AndroidOS.FakeInst.fz 1,6%
19 Trojan.AndroidOS.Ztorg.pac 1,5%
20 Trojan-SMS.AndroidOS.FakeInst.hb 1,4%

* Pourcentage d’utilisateurs attaqués par ce malware sur l’ensemble des utilisateurs attaqués

DangerousObject.Multi.Generic (17,5 %) occupe la première position. La détection de ces nouveaux malwares mobiles s’opère à l’aide des technologies dans le cloud Kaspersky Security Network, qui permettent à nos produits de réagir rapidement aux nouvelles menaces inconnues.

Trojan-SMS.AndroidOS.Podec.a (9,7 %) figure dans le Top 3 des menaces pour appareils mobiles pour le troisième trimestre consécutif, ce qui s’explique par sa propagation active.

Trojan-SMS.AndroidOS.Opfake.a (8,0 %) progresse rapidement vers le haut du classement. Alors qu’au troisième trimestre 2014, il occupait la onzième position, il fait désormais partie du Top 3 des menaces mobiles au deuxième trimestre 2015. La quinzième position revient à un autre représentant de cette famille : Obfake.bo.

Remarquons également l’entrée en quatrième position de Backdoor.AndroidOS.Obad dans le TOP 20. Il s’agit d’un Trojan multifonctionnel qui peut envoyer des SMS à un numéro surfacturé, télécharger et installer d’autres malwares sur l’appareil infecté et/ou les diffuser par Bluetooth et exécuter des commandes à distance dans la console. Nous en avions déjà parlé il y a deux ans et ses fonctions n’ont pratiquement pas changé depuis lors.

Et voici un autre point important : bien que ce classement ne reprenne pas les logiciels publicitaires, 6 programmes sur les 20 que compte le classement utilisent la publicité comme moyen principal pour gagner de l’argent. Trojan.AndroidOS.Rootnik.a, trois programmes de la famille Trojan.AndroidOS.Ztorg, Trojan-Downloader.AndroidOS.Leech.a et Trojan.AndroidOS.Fadeb.a à la différence des logiciels publicitaires traditionnels ne remplissent aucune fonction utile. Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possible via différentes méthodes, dont l’installation de nouveaux logiciels publicitaires. Ces Trojans exploitent les privilèges root pour se dissimuler dans le dossier système, ce qui complique énormément leur suppression.

Trojans bancaires pour appareils mobiles

Au cours de la période couverte par le rapport, nous avons détecté 630 Trojans bankers pour appareils mobiles. Signalons toutefois que l’augmentation du nombre de nouveaux programmes de cette catégorie a sensiblement ralenti.

Nombre de Trojans bancaires dans la collection de Kaspersky Lab (T3 2014 à T2 2015)

Géographie des menaces bancaires pour appareils mobiles au deuxième trimestre 2015
(nombre d’utilisateurs attaqués)

Le nombre d’utilisateurs attaqués dépend du nombre total d’utilisateurs dans le pays. Pour évaluer et comparer le risque d’infection par des Trojans bancaires pour appareils mobiles dans les différents pays, nous avons créé un classement des pays par pourcentage d’utilisateurs attaqués par des Trojans bancaires pour appareils mobiles.

Top 10 des pays par pourcentage d’utilisateurs attaqués par des Trojans bancaires pour appareils mobiles.

  Pays* % d’utilisateurs uniques attaqués par des Trojans bancaires
1 Corée, République de 2,37%
2 Russie 0,87%
3 Ouzbékistan 0,36%
4 Biélorussie 0,30%
5 Ukraine 0,29%
6 Chine 0,25%
7 Kazakhstan 0,17%
8 Australie 0,14%
9 Suède 0,13%
10 Autriche 0,12%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays d’utilisateurs uniques attaqués par des Trojans bancaires pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays

C’est en Corée que les bankers pour appareils mobiles sont le plus diffusés. Les individus malintentionnés sont en général actifs également en Russie et dans l’espace post-soviétique. Ces pays occupent d’ailleurs quatre des cinq premières positions du classement.

La popularité des Trojans bancaires pour appareils mobiles auprès des individus malintentionnés dans chaque pays se note au rapport entre le nombre d’utilisateurs attaqués au moins une fois au cours du trimestre par des trojans pour appareils mobiles et l’ensemble des utilisateurs dans ce même pays chez qui le logiciel antivirus pour appareils mobiles s’est déclenché au moins une fois. Ce classement diffère de celui présenté ci-dessus:

Top 10 des pays par part des utilisateurs victimes de bankers pour appareils mobiles sur l’ensemble des utilisateurs attaqués

  Pays * Pourcentage d’utilisateurs attaqués par des bankers, sur l’ensemble des utilisateurs attaqués
1 Corée, République de 31,72%
2 Russie 10,35%
3 Australie 6,62%
4 Autriche 6,03%
5 Japon 4,73%
6 Ouzbékistan 4,17%
7 Biélorussie 3,72%
8 Équateur 3,50%
9 Ukraine 3,46%
10 Suisse 3,09%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10000)
** Pourcentage d’utilisateurs uniques dans le pays, attaqués par des Trojans bancaires pour appareils mobiles, par rapport à l’ensemble des utilisateurs uniques dans ce pays attaqués par des malwares pour appareils mobiles

En Corée, près d’un tiers de l’ensemble des utilisateurs attaqués par des malwares pour appareils mobiles ont été attaqués entre autres par des bankers pour appareils mobiles. En Russie, un utilisateur sur dix attaqués a été exposé à des attaques de bankers pour appareils mobiles. Cet indice est inférieur dans les autres pays. Il est intéressant de constater que sur les 5 pays les plus sûrs en matière de probabilité d’infection par des malwares pour appareils mobiles (cf. ci-dessous), 4 se retrouvent dans ce classement. Il s’agit de l’Australie, de l’Autriche, du Japon et de la Suisse.

Répartition géographique des menaces pour appareils mobiles

Carte des tentatives d’infection par des malwares pour appareils mobiles au deuxième trimestre 2015
(pourcentage de l’ensemble des utilisateurs attaqués)

Top 10 des pays par pourcentage d’utilisateurs attaqués par des malwares pour appareils mobiles:

  Pays* % d’utilisateurs attaqués**
1 Chine 16,34%
2 Malaisie 12,65%
3 Nigeria 11,48%
4 Bangladesh 10,89%
5 Tanzanie 9,66%
6 Algérie 9,33%
7 Ouzbékistan 8,56%
8 Russie 8,51%
9 Ukraine 8,39%
10 Biélorussie 8,05%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage d’utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays

La Chine est devenue leader de ce classement : 16,34 % des utilisateurs de notre produit ont été exposés à des attaques au moins une fois. La Malaisie occupe la deuxième position avec 12,65 %. La Russie (8,51 %), L’Ukraine (8,39 %) et la Biélorussie (8,05%) referment le Top 10, devant des pays d’Asie et d’Afrique.

La Corée occupe la 11ème position dans ce classement avec un indice de 7,46 %. Pour rappel, les individus malintentionnés en Corée adorent les Trojans bancaires pour appareils mobiles: ils ont touché 31,72 % de l’ensemble des utilisateurs attaqués par des malwares pour appareils mobiles.

Pays les plus sûrs selon cet indicateur:

  Pays % d’utilisateurs attaqués
1 Japon 1,06%
2 Canada 1,82%
3 Autriche 1,96%
4 Australie 2,16%
5 Suisse 2,19%

Applications vulnérables utilisées par les individus malintentionnés

Le classement des applications vulnérables repris ci-après repose sur les données relatives aux codes d’exploitation bloqués par nos produits et utilisés par des individus malintentionnés dans le cadre d’attaques via Internet ou lors de l’infection d’applications locales, y compris sur les appareils mobiles des utilisateurs.

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T2 2015

La répartition des codes d’exploitation n’a pratiquement pas changé par rapport au premier trimestre. Les codes d’exploitation pour les navigateurs occupent une fois de plus le haut du classement (60 %). A l’heure actuelle, la majorité des kits d’exploitation contient une série de codes d’exploitation pour Adobe Flash Player et Internet Explorer. Notons l’augmentation sensible du nombre de codes d’exploitation pour Adobe Reader (+6 points de pourcentage). Celle-ci s’explique par le nombre élevé de campagnes de messages non sollicités contenant des fichiers PDF malveillants.

On enregistre également une réduction de la part des codes d’exploitation Java (- 4 points de pourcentage). Nous n’avons pratiquement détecté aucun nouveau kit d’exploitation pour Java au deuxième trimestre.

De nouvelles vulnérabilités dans Adobe Flash Player ont été observées au deuxième trimestre:

  • CVE-2015-3113
  • CVE-2015-3104
  • CVE-2015-3105
  • CVE-2015-3090

S’il est vrai que la part des codes d’exploitation pour Adobe Flash Player n’atteint que 3 % dans notre classement, leur nombre est plus nombreux « dans la nature ». Au moment d’examiner ces statistiques, il ne faut pas oublier que les technologies de Kaspersky Lab détectent les codes d’exploitation à différentes étapes. La catégorie « navigateurs » contient également les détections des pages d’atterrissage qui « diffusent » les codes d’exploitation. D’après nos observations, il s’agit le plus souvent de codes d’exploitation pour Adobe Flash Player.

Malwares sur Internet (attaques via Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Menaces en ligne dans le secteur bancaire

Au cours du deuxième trimestre 2015, les solutions de Kaspersky Lab ont repoussé des tentatives d’exécution de malware de vol d’argent via les services de banque électronique sur les ordinateurs de 755 642 utilisateurs. Par rapport au trimestre antérieur (929 082), cet indice a enregistré un recul de 18,7 %. Au deuxième trimestre 2014, il avait atteint 735 428 ordinateurs d’utilisateurs.

Au total, les solutions de protection de Kaspersky Lab ont enregistré 5 903 377 notifications de tentatives d’infection par des malwares développés pour le vol d’argent via les systèmes de banque électronique.

Nombre d’attaques menées par des malwares financiers contre des utilisateurs, deuxième trimestre 2015

Répartition géographique des attaques

Au deuxième trimestre 2015, nous avons modifié la méthodologie suivie pour créer le classement des pays en fonction de l’activité des Trojans bancaires. Jusqu’à présent, nous avions créé le classement en tenant compte du nombre d’utilisateurs attaqués. Bien qu’il s’agisse d’un indicateur important, il dépend du nombre d’utilisateurs des logiciels de Kaspersky Lab dans le pays.

Pour évaluer et comparer le risque d’infection par des Trojans bancaires auquel sont exposés les ordinateurs d’utilisateurs issus de différents pays, nous avons calculé pour chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui avaient été confrontés à cette menace au cours de la période couverte par le rapport sur l’ensemble des utilisateurs de nos produits dans le pays.

Géographie des attaques de malwares bancaires au deuxième trimestre 2015
(pourcentage d’utilisateurs attaqués)

Top 10 des pays en fonction du pourcentage d’utilisateurs attaqués

  Pays* % d’utilisateurs attaqués**
1 Singapour 5,28%
2 Suisse 4,16%
3 Brésil 4,07%
4 Australie 3,95%
5 Hong Kong 3,66%
6 Turquie 3,64%
7 Nouvelle-Zélande 3,28%
8 Afrique du Sud 3,13%
9 Liban 3,10%
10 Emirats arabes unis 3,04%

* Nous avons exclu de nos calculs les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement réduit (inférieur à 10 000).
** Pourcentage d’utilisateurs uniques de KL, victimes d’attaques de Trojans bancaires, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

Au deuxième trimestre 2015, Singapour a décroché la première position du classement des pourcentages d’utilisateurs de Kaspersky Lab attaqués par des Trojans bancaires. Signalons que dans la majorité des pays du Top 10, le niveau de développement technologique et/ou du système bancaire est élevé, ce qui attire l’attention des cybercriminels.

Près de 0,75 % des utilisateurs en Russie ont été confrontés au moins une fois au cours du trimestre à des trojans bancaires. Ce chiffre est de 0,89 % pour les Etats-Unis, 2,02 % pour l’Espagne, 1,58 % au Royaume-Uni, 1,57 % en Italie et 1,16 % en Allemagne.

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares bancaires utilisés dans le cadre d’attaques contre les utilisateurs de systèmes de banque électronique au deuxième trimestre 2015 (en fonction de la quantité d’utilisateurs attaqués):

  Nom Nombre de notifications Nombre d’utilisateurs attaqués
1 Trojan-Downloader.Win32.Upatre 3888061 419940
2 Trojan-Spy.Win32.Zbot 889737 177665
3 Trojan-Banker.Win32.ChePro 264534 68467
4 Backdoor.Win32.Caphaw 72128 25923
5 Trojan-Banker.Win32.Banbra 56755 24964
6 Trojan.Win32.Tinba 175729 22942
7 Trojan-Banker.AndroidOS.Marcher 60819 19782
8 Trojan-Banker.AndroidOS.Faketoken 43848 13446
9 Trojan-Banker.Win32.Banker 23225 9209
10 Trojan-Banker.Win32.Agent 28658 8713

L’écrasante majorité des malwares du Top 10 utilise la technique d’injection d’un code HTML arbitraire dans la page affichée par le navigateur et d’interception des données de paiement saisies par les utilisateurs dans les formulaires en ligne originaux et de substitution.

Le trio de tête des malwares bancaires n’a pas changé par rapport au trimestre précédent. Trojan-Downloader.Win32.Upatre domine toujours le classement. Les malwares de cette famille sont relativement simples, leur taille ne dépasse pas 3,5 Ko et en général, ils téléchargent des Trojans bancaires de la famille Dyre/Dyzap/Dyreza. La liste des banques attaquées par ce malware bancaire varie en fonction du contenu du fichier de configuration qui est téléchargé depuis le serveur de commande.

De nouveaux Trojans bancaires ont fait leur entrée dans le classement au deuxième trimestre 2015 : Backdoor.Win32.Caphaw, Trojan-Banker.AndroidOS.Marcher et Trojan-Banker.AndroidOS.Faketoken

La découverte de Backdoor.Win32.Caphaw remonte à 2011. Il utilise la technique dite Man-in-the-Browser pour voler les données de paiement du client du système de banque électronique.

Trojan-Banker.AndroidOS.Faketoken et Trojan-Banker.AndroidOS.Marcher visent les périphériques mobiles Android. Faketoken coopère avec des Trojans bancaires pour ordinateur. Les cybercriminels ont recours à l’ingénierie sociale pour le diffuser. Lorsqu’un client infecté accède à la page du système de banque électronique, le Trojan modifie la page en question et propose de télécharger une application Android censée protéger la transaction. Le lien mène en réalité à l’application Faketoken. Une fois que Faketoken est arrivé sur le smartphone de la victime, les criminels utilisent l’ordinateur infecté par le Trojan bancaire pour accéder au compte en banque. Le périphérique mobile infecté leur permet, quant à lui, d’intercepter le mot de passe à usage unique de l’authentification à deux facteurs (mTAN). Le deuxième Trojan bancaire pour appareil mobile est Trojan-Banker.AndroidOS.Marcher. Une fois qu’il a infecté un appareil mobile, il est à l’affût du lancement de deux applications seulement : le client du système bancaire mobile d’une banque européenne et Google Play. Si l’utilisateur lance Google Play, Marcher affiche une fausse fenêtre de Google Play pour la saisie des données de la carte de crédit qui arrivent ainsi directement aux individus malintentionnés. Le Trojan adopte une technique similaire lorsque l’utilisateur ouvre l’application bancaire.

Menaces financières

Les menaces financières ne se limitent pas aux malwares bancaires qui visent les utilisateurs des systèmes de banque électronique.

Nombre d’attaques organisées à l’aide de malwares financiers

Par rapport au trimestre dernier, la part des malwares bancaires a augmenté et est passée de 71 à 83 %. La deuxième menace financière en termes de popularité au deuxième trimestre a été constituée par les extracteurs de bitcoins, des malwares qui utilisent la puissance de calcul de l’ordinateur de la victime pour produire des bitcoins. Cette catégorie occupait la troisième place au trimestre dernier. Il faut signaler que certains développeurs d’applications légitimes intègrent des extracteurs de bitcoins dans leurs applications à l’insu des utilisateurs.

Top 20 des objets détectés sur Internet

Au cours du deuxième trimestre 2015, notre antivirus Internet a détecté 26 084 253 objets uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).

Parmi l’ensemble des objets malveillants et potentiellement indésirables détectés, nous avons sélectionné les 20 plus actifs, responsables de 96,5 % de l’ensemble des attaques sur Internet.

Top 20 des objets détectés sur Internet

  Nom* % de l’ensemble des attaques**
1 AdWare.JS.Agent.bg 47,66%
2 Malicious URL 32,11%
3 Trojan.Script.Generic 4,34%
4 AdWare.Script.Generic 4,12%
5 Trojan.Script.Iframer 3,99%
6 AdWare.JS.Agent.bt 0,74%
7 Exploit.Script.Blocker 0,56%
8 Trojan.Win32.Generic 0,49%
9 AdWare.AndroidOS.Xynyin.a 0,49%
10 Trojan-Downloader.Win32.Generic 0,37%
11 Trojan-Ransom.JS.Blocker.a 0,34%
12 Trojan-Clicker.JS.Agent.pq 0,23%
13 AdWare.JS.Agent.an 0,20%
14 AdWare.JS.Agent.by 0,19%
15 Trojan.Win32.Invader 0,12%
16 Trojan-Downloader.Win32.Genome.qhcr 0,11%
17 AdWare.Win32.Amonetize.ague 0,11%
18 AdWare.Win32.MultiPlug.nnnn 0,10%
19 AdWare.NSIS.Agent.cv 0,09%
20 Trojan-Downloader.Script.Generic 0,09%

* Verdicts détectés du module Antivirus Internet. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Le Top 20 reprend une majorité de verdicts attribués à des objets utilisés dans le cadre d’attaque de type drive-by, ainsi que des logiciels publicitaires.

La forte poussée dans la diffusion de logiciels publicitaires s’observe une fois de plus dans ce classement : dix positions sur vingt sont occupées par des objets assimilés aux logiciels publicitaires et la première position revient au script AdWare.JS.Agent.bg ajoutés par des logiciels publicitaires à des pages Internet au hasard. Ce dernier a même pris la place de Malicious URL, le verdict associé aux adresses Internet de la liste noire qui occupait la deuxième position à l’issue du trimestre.

On remarquera également l’apparition du verdict AdWare.AndroidOS.Xynyin.a avec une plateforme atypique pour ce classement. L’application qui correspond à ce verdict est un module publicitaire pour Android qui s’intègre à différentes applications (par exemple, des applications qui « accélèrent » le fonctionnement du téléphone). Une de ces applications a connu une certaine popularité en mars-avril, comme en témoignent les téléchargements réalisés par les utilisateurs. Dans la mesure où ce genre d’application n’apparaît généralement pas sur Google Play, les personnes intéressées par ces fonctions devaient rechercher l’application sur Internet et la télécharger via l’ordinateur.

Le verdict Trojan-Ransom.JS.Blocker.a est un script qui, à l’aide de la mise à jour cyclique d’une page, tente de bloquer le navigateur et affiche un message qui annonce la nécessité de payer une « amende » au porte-monnaie électronique indiqué pour avoir consulté du contenu déplacé. Ce script se rencontre principalement sur les sites de pornographie.

Pays source des attaques Internet: Top 10

Les données statistiques illustrent la répartition des sources d’attaque Internet bloquées par l’Antivirus Internet sur les ordinateurs des utilisateurs (pages Internet avec redirections vers des codes d’exploitation, des sites hébergeant des codes d’exploitation et d’autres malwares, centres de commande de réseaux de zombies, etc. Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au deuxième trimestre 2015, les solutions de Kaspersky Lab ont déjoué 379 972 834 attaques organisées depuis divers sites répartis à travers le monde. 89 % des notifications relatives aux attaques Internet bloquées ont été obtenues suite à des tentatives d’attaques émanant de dix pays.

Répartition par pays des sources d’attaques Internet au deuxième trimestre 2015

Le leader de notre classement reste inchangé : il s’agit une fois de plus de la Russie (51 %). Sa part a augmenté de 11,27 %. Ce trimestre, la Suisse ne figure pas dans le Top 10. Singapour occupe la huitième position avec 1,56 %.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé dans chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés à des déclenchements de l’Anti-Virus Internet au cours de la période couverte par le rapport. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

  Pays* % d’utilisateurs uniques**
1 Russie 38,98%
2 Kazakhstan 37,70%
3 Ukraine 35,75%
4 Syrie 34,36%
5 Biélorussie 33,02%
6 Azerbaïdjan 32,16%
7 Thaïlande 31,56%
8 Géorgie 31,44%
9 Moldavie, République de 31,09%
10 Vietnam 30,83%
11 Arménie 30,19%
12 Kirghizstan 29,32%
13 Croatie 29,16%
14 Algérie 28,85%
15 Qatar 28,47%
16 Chine 27,70%
17 Mongolie 27,27%
18 Macédoiner 26,67%
19 Bosnie-Herzégovine 25,86%
20 Grèce 25,78%

Ces statistiques reposent sur les verdicts détectés par l’Antivirus Internet et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.

* Nous avons exclu de nos calculs les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement réduit (inférieur à 10 000).
** Pourcentage d’utilisateurs uniques de KL, victimes d’attaques Internet, de l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

La Russie retrouve la première position du classement au deuxième trimestre 2015. Elle avait occupé la deuxième position au trimestre antérieur. Les Emirats arabes unis, la Lettonie, le Tadjikistan, la Tunisie et la Bulgarie ont quitté le Top 20 au deuxième trimestre. Parmi les petits nouveaux du classement, citons la Syrie qui arrive directement en quatrième position (34,36 %), la Thaïlande en septième position (31,56 %), le Vietnam en dixième (30,83 %) et la Chine (27,70 %) et la Macédoine (26,67 %) en seizième et dix-huitième positions respectivement.

L’Argentine (13,2 %), les Pays-Bas (12,5 %), la Corée (12,4 %), la Suisse (11,8 %), le Paraguay (10,2 %) et le Danemark (10,1 %) figurent parmi les pays où la navigation sur Internet est la plus sûre.

Au cours du trimestre, une moyenne de 23,9 % des ordinateurs des Internautes au monde ont été exposés au moins une fois à une attaque Internet.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données reprennent les objets qui sont parvenus sur un ordinateur via l’infection de fichiers ou de disques amovibles, ou les objets qui sont arrivés sur l’ordinateur de manière dissimulée (par exemple, des programmes au sein de programmes d’installation complexes, des fichiers chiffrés, etc.).

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

110 731 713 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers au deuxième trimestre 2015.

Top 20 des objets découverts sur les ordinateurs sur les ordinateurs des utilisateurs

  Nom* % d’utilisateurs uniques attaqués**
1 DangerousObject.Multi.Generic 22,64%
2 Trojan.Win32.Generic 15,05%
3 Trojan.WinLNK.StartPage.gena 8,28%
4 AdWare.Script.Generic 7,41%
5 Adware.NSIS.ConvertAd.heur 5,57%
6 WebToolbar.Win32.Agent.azm 4,48%
7 WebToolbar.JS.Condonit.a 4,42%
8 Trojan-Downloader.Win32.Generic 3,65%
9 Downloader.Win32.MediaGet.elo 3,39%
10 Trojan.Win32.AutoRun.gen 3,29%
11 Downloader.Win32.Agent.bxib 3,26%
12 WebToolbar.JS.CroRi.b 3,09%
13 RiskTool.Win32.BackupMyPC.a 3,07%
14 Virus.Win32.Sality.gen 2,86%
15 Worm.VBS.Dinihou.r 2,84%
16 WebToolbar.Win32.MyWebSearch.si 2,83%
17 DangerousPattern.Multi.Generic 2,75%
18 AdWare.NSIS.Zaitu.heur 2,70%
19 AdWare.BAT.Clicker.af 2,67%
20 AdWare.Win32.MultiPlug.heur 2,54%

* Verdicts détectés par les modules OAS et OAD de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.
** Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’antivirus a détecté cet objet, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus Fichiers s’est déclenché.

En général, ce classement reprend les verdicts attribués aux logiciels publicitaires et à leurs composants (par exemple, AdWare.BAT.Clicker.af) et aux vers qui se propagent via les disques amovibles.

Virus.Win32.Sality.gen, unique représentant des virus, continue de perdre du terrain. La part d’ordinateurs infectés par ce virus chute depuis quelques temps déjà. A l’issue de ce trimestre, Sality occupe la quatorzième position avec un indice de 2,86 %, soit un recul de 0,32 % par rapport au trimestre précédent.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour chacun des pays, nous avons calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés au déclenchement de l’Antivirus Fichiers au cours de la période couverte par le rapport. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Top 20 des pays en fonction du degré d’infection des ordinateurs

  Pays* % d’utilisateurs uniques**
1 Bangladesh 60,53%
2 Vietnam 59,77%
3 Pakistan 58,79%
4 Mongolie 58,59%
5 Géorgie 57,86%
6 Somalie 57,22%
7 Népal 55,90%
8 Afghanistan 55,62%
9 Algérie 55,44%
10 Arménie 55,39%
11 Russie 54,94%
12 Laos 54,77%
13 Irak 54,64%
14 Kazakhstan 54,23%
15 Syrie 53,00%
16 Tunisie 53,75%
17 Éthiopie 53,44%
18 Rwanda 53,17%
19 Ukraine 53,01%
20 Cambodge 52,88%

Ces statistiques reposent sur les verdicts détectés par les modules OAS et ODS de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques. Nous avons également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.

* Nous avons exclu de nos calculs les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement réduit (inférieur à 10 000).
**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Bangladesh occupe pour ce trimestre la première position avec 60,53 % et repousse le Vietnam en deuxième position, après deux années passées en tête du classement. Le Pakistan (58,79 %) progresse de sa trentième place du premier trimestre à la troisième position.

Parmi les entrées du classement, il y a la Géorgie qui occupe directement la cinquième position (57,8 %), la Russie (55 %) en onzième position, la Tunisie en seizième position (53,7 %) et l’Ukraine en dix-neuvième position (53 %).

Les pays qui affichent les niveaux d’infection les plus bas sont la Suède (19,7 %), le Danemark (18,4 %) et le Japon (15,5 %).

En moyenne au cours du deuxième trimestre, des menaces locales ont été observées au moins une fois sur 40 % des ordinateurs des utilisateurs, soit une progression de 0,2 % par rapport au premier trimestre 2015.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *