Evolution des menaces informatiques au 3e trimestre 2015

Chiffres du trimestre

  • D’après KSN, les solutions de Kaspersky Lab ont déjoué 235 415 870 attaques organisées depuis divers sites répartis à travers le monde.
  • 75 408 543 URL uniques ayant provoqué un déclenchement de l’antivirus Internet ont été recensées.
  • Notre antivirus Internet a détecté 38 223 047 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.)
  • 5 686 755 notifications de tentatives d’infection par des malwares développés pour le vol d’argent via les systèmes de banque électronique ont été enregistrées.
  • 145 137 553 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus.
  • Les solutions de Kaspersky Lab pour la protection des appareils nomades ont détecté les éléments suivants:
    • 1 583 094 paquets d’installation de malwares;
    • 323 374 nouveaux malwares pour appareils nomades;
    • 2 516 Trojans bancaires pour appareils nomades

Aperçu

Attaques ciblées

Turla, la tête dans les étoiles

Au cours des 12 derniers mois, nous avons abordé Turla à plusieurs reprises (notre rapport initial, notre analyse de suivi et l’aperçu de la campagne sont disponibles sur securelist.com) Le groupe à l’origine de cette campagne de cyber-espionnage est actif depuis plus de huit ans. Au cours de cette période, il a infecté des centaines d’ordinateurs dans plus de 45 pays. Des agences gouvernementales, des ambassades, des institutions militaires, des centres de formation et de recherche ainsi que des sociétés pharmaceutiques figurent parmi les cibles.

Le groupe Turla identifie ses victimes à l’aide d’attaques qui reposent sur la technique du trou d’eau au cours des premières étapes. Toutefois, comme nous l’avons indiqué dans notre rapport le plus récent, le groupe exploite également des communications par satellite pour gérer le trafic de ses centres de commande.

Le grand public a tendance à assimiler les communications satellites à la diffusion d’émissions de télévision, mais il faut savoir qu’elles servent également à fournir un accès Internet. C’est souvent le cas dans les régions isolées où les autres types de connexion sont lentes, instables ou tout simplement inexistantes. Une des manières les plus répandues et les moins chères d’obtenir un accès par satellite est de choisir une connexion descendante uniquement.

La méthode choisie par le groupe Turla pour détourner les connexions satellites descendantes ne requiert pas d’abonnement valide à un service d’accès à Internet par satellite. L’avantage principal est l’anonymat offert : il est très difficile d’identifier les attaquants. Les récepteurs du signal satellite peuvent se trouver n’importe où dans la zone de couverture, en général assez grande, et il est très difficile d’identifier l’emplacement exact du serveur de commande et de saisir le matériel. Cela revient également moins cher que d’acheter une liaison satellite et la démarche est plus simple que le détournement du trafic entre la victime et l’exploitant du satellite et l’injection de paquets en cours de route.

Pour pouvoir attaquer des connexions Internet par satellite, l’antenne parabolique de l’utilisateur légitime de ces services et l’antenne des attaquants doivent pointer vers le satellite spécifique qui diffuse le signal. Les attaquants profitent du fait que les paquets ne sont pas chiffrés. Dès qu’une adresse IP routée via la liaison descendante du satellite a été identifiée, les attaquants se mettent à l’écoute des paquets envoyés via Internet à cette adresse IP en particulier. Quand un paquet a été identifié, les attaquants déterminent l’origine et renvoient à la source un paquet en réponse à l’aide d’une connexion Internet conventionnelle. Simultanément, l’utilisateur légitime de la liaison ignore le paquet car il est envoyé à un port qui n’est pas utilisé normalement (par exemple, le port 80 ou 10080). Vous trouverez ici une illustration de la manière dont Turla exploite les liaisons satellite.

Le groupe Turla semble se concentrer sur les fournisseurs d’accès Internet par satellite au Moyen-Orient et en Afrique, dont le Congo, le Liban, la Libye, le Niger, le Nigeria, la Somalie et les Emirats arabes unis. Les diffusions par satellite dans ces pays n’atteignent pas en général les pays d’Europe et d’Amérique du Nord, ce qui complique énormément la tâche des chercheurs en sécurité qui voudraient analyser ces attaques.

Le recours à des liaisons Internet par satellite constitue un développement intéressant. Le détournement de la bande passante descendante ne coûte pas cher (environ 1 000 dollars d’investissement initial, puis près de 1 000 dollars pour l’entretien annuel), il est facile à mettre en œuvre et garantit un degré d’anonymat élevé. D’un autre côté, il n’est pas toujours aussi fiable que les méthodes plus traditionnelles comme l’hébergement « bullet-proof », plusieurs niveaux de proxy ou les sites Internet piratés, qui sont d’autres techniques utilisées par Turla. Il est moins probable que cette méthode soit utilisée pour maintenir de grands réseaux de zombies. Toutefois, si cette méthode devait se propager parmi les groupes APT ou les cybercriminels, elle poserait un grave problème au secteur de la sécurité informatique et aux autorités judiciaires et policières.

Darkhotel allonge sa liste d’invités

Nous avions évoqué l’APT Darkhotel en novembre 2014. Ces attaques se caractérisaient par l’utilisation détournée de certificats volés, le déploiement des fichiers HTA à l’aide de diverses méthodes et l’infiltration des réseaux Wi-Fi des hôtels pour installer des backdoors sur les ordinateurs des victimes.

Nous avons publié récemment une mise à jour sur la campagne Darkhotel. Alors que les attaquants à l’origine de cette APT continuent d’utiliser les méthodes décrites ci-dessus, ils ont enrichi leur arsenal. Ils privilégient à l’heure actuelle les attaques par hameçonnage contre les victimes choisies. En plus de l’utilisation de fichiers HTA, les attaquants déploient également des fichiers RAR et utilisent le mécanisme RTLO (forcer l’écriture de droite à gauche) pour masquer la véritable extension du fichier. Les attaquants utilisent également des codes d’exploitation Flash, y compris un code d’exploit zero-day diffusé suite à la violation de sécurité Hacking Team.

En 2015, Darkhotel a étendu sa présence et comprend désormais des victimes en Corée du Nord, en Russie, en Corée du Sud, au Japon, au Bangladesh, en Thaïlande, en Inde, au Mozambique et en Allemagne.

Blue Termite

Nous avons abordé l’attaque APT Blue Termite au mois d’août. Il s’agit d’une campagne ciblée dont l’objectif est le vol d’informations de grandes organisations au Japon. Il s’agit d’agences gouvernementales, d’organismes publics régionaux, de groupes d’intérêt public, d’universités, de banques, de services financiers, ainsi que d’entreprises actives dans les secteurs de l’énergie, des communications, de l’industrie lourde, de la chimie, de l’automobile, de l’électricité, des médias, des services d’information, de la santé, de l’immobilier, de l’alimentaire, des semi-conducteurs, de la robotique, de la construction, des assurances, du transport et autres. L’administration des retraites du Japon figure parmi les victimes qui ont fait couler le plus d’encre.

Le malware est adapté en fonction de chaque victime. La backdoor de Blue Termite stocke toutes les données qui le concernent, dont le centre de commande, le nom API, les chaînes contre l’analyse, les valeurs des exclusions mutuelles, ainsi que la somme de contrôle MD5 des commandes de la backdoor et les informations du proxy interne. Les données sont stockées de façon chiffrée, ce qui complique l’analyse du malware. Chaque échantillon requiert une clé de déchiffrement unique.

A l’instar de nombreuses autres attaques ciblées, les messages de hameçonnage constituent la principale méthode d’infection. Nous avons toutefois détecté d’autres méthodes. Il s’agit notamment d’attaques par téléchargement à la dérobée à l’aide d’un code d’exploitation Flash (CVE-2015-5119), un des codes mis en circulation après la violation de sécurité Hacking Team. Plusieurs sites Internet Japonais ont été compromis de la sorte. Nous avons également observé des attaques impliquant la technique du trou d’eau, dont un sur le site Internet d’un membre de haut niveau du gouvernement japonais.

Histoires de malware

La fin du parcours pour CoinVault?

Le 14 septembre 2015, la police des Pays-Bas a arrêté deux hommes soupçonnés de participer aux attaques du ransomware CoinVault. Cette arrestation était le fruit d’une coopération entre Kaspersky Lab, Panda Security et la brigade nationale de lutte contre les délits technologiques (NHCTU) des Pays-Bas et démontrait les bienfaits de la coopération entre la police et les chercheurs en sécurité informatique. Cette campagne de malware a débuté en mai 2014 et s’est poursuivie cette année. Elle a ciblé des victimes dans plus de 20 pays, principalement aux Pays-Bas, en Allemagne, aux Etats-Unis, en France et en Grande-Bretagne. Les auteurs ont réussi à chiffrer des fichiers sur plus de 1 500 ordinateurs Windows et ils exigeaient un paiement en bitcoins pour déchiffrer les données des victimes.

Les cybercriminels à l’origine de cette campagne ont modifié le ransomware à plusieurs reprises pour s’en prendre sans cesse à de nouvelles victimes. Nous avons publié notre première analyse de CoinVault en novembre 2014, peu de temps après l’apparition du premier échantillon de ce malware. La campagne a ensuite été interrompue jusqu’en avril 2015, lorsque nous avons détecté un nouvel échantillon. Ce même mois, Kaspersky Lab et la NHTCU des Pays-Bas lançaient un site Internet qui contenait les clés de déchiffrement. Nous avions également proposé un outil de déchiffrement en ligne pour aider les victimes à récupérer leurs données sans devoir payer la rançon.

Après avoir publié ce site, Kaspersky Lab a été contacté par Panda Security qui avait obtenu des informations sur des échantillons complémentaires du malware. Nous avions pu confirmer que ces échantillons étaient liés à CoinVault. Et nous avons transmis ces informations au NHTCU des Pays-Bas.

Ne manquez pas de lire notre analyse des différentes astuces employées par les auteurs de CoinVault.

Les ransomwares sont devenus des habitués de la scène des menaces. S’il est vrai que ce cas illustre les résultats positifs que peut avoir la coopération entre les chercheurs et les autorités judiciaires et policières, il est essentiel que les consommateurs et les entreprises adoptent les mesures pour atténuer les risques que pose ce genre de malware. Les cybercriminels qui utilisent les ransomwares vivent des victimes qui paient leur rançon. Outre la protection contre les malwares, il est primordial de réaliser des sauvegardes régulières de ses données afin d’éviter de les perdre et de devoir payer une rançon.

Un ver dans la pomme d’Apple

L’apparition récente d’applications malveillantes dans l’App Store a démontré que contrairement aux croyances de nombreux utilisateurs, iOS n’était pas à l’abri des malwares.

Le malware appelé « Xcodeghost » a infecté des dizaines d’applications dont WeChat, l’application NetEase pour télécharger de la musique, le scanner de cartes de visite CamCard et l’application de réservation de voiture de Did Kuadidi. Des versions chinoises d’Angry Birds 2 ont également été infectées.

Les attaquants ne s’en sont pas pris directement à l’App Store. Ils ont hébergé une version malveillante de Xcode de Apple. Xcode est un ensemble d’outils gratuits proposés aux développeurs pour créer des applications iOS. Il est distribué officiellement par Apple, mais des tiers le distribue également de manière officieuse : un individu en Chine a proposé une version de Xcode qui contenait XcodeGhost. Certains développeurs chinois préfèrent télécharger les outils de développement de ce genre depuis des serveurs locaux car le transfert est beaucoup plus rapide.

Toute application créée à l’aide de la version modifiée de Xcode serait infectée. Les applications infectées volent des données de leurs victimes et les renvoient aux attaquants. Au début, les estimations faisaient état de 39 applications infectées qui avaient déjoué le processus de vérification d’Apple et s’étaient retrouvées sur l’App Store. Les applications infectées ont été retirées par Apple. Toutefois, cela faisait six mois que la version compromise de Xcode était disponible, si bien que le nombre d’applications infectées pourrait être de loin supérieur, surtout quand on sait que le code source de XcodeGhost a été publié sur Github.

Des chercheurs de Palo Alto Networks ont publié une analyse de XcodeGhost.

Cet incident met en avant le danger des applications infectées à la source quand les outils utilisés par les développeurs sont compromis.

Le cybergang de Gaza

A la fin du mois de septembre, nous avons évoqué les activités d’une autre campagne APT régionale organisée par le cybergang de Gaza. Il s’agit d’un groupe à motivation politique qui est actif au Moyen-Orient et en Afrique du Nord. Il vise principalement l’Egypte, les Emirats arabes unis et le Yémen. Ce groupe est intéressé par les agences gouvernementales, principalement les ambassades où la sécurité et les technologies de l’information ne sont pas toujours bien en place ou fiables. Bien que le cybergang de Gaza soit actif depuis 2012, il s’est surtout manifesté au deuxième trimestre 2015.

Le gang diffuse activement le malware auprès des membres du personnel IT et aux personnes en charge des incidents dans les organisations ciblées : les noms de fichier utilisés font référence aux fonctions IT et aux outils de réaction utilisés dans le cadre d’enquête sur les cyber-attaques. La raison en est bien simple. En général, le personnel IT possède des autorisations supérieures à celles des autres employés car sa tâche consiste à gérer l’infrastructure IT de l’entreprise. Les employés en charge de la gestion des incidents ont quant à eux la chance d’avoir accès aux données sensibles des enquêtes en cours. Ils disposent également d’autorisations qui leur permettent de rechercher toute activité suspecte sur l’ensemble du réseau. Cela signifie que les attaquants ont non seulement accès à l’organisation cible, mais qu’ils peuvent également explorer le réseau.

Les principaux modules d’infection utilisés par le groupe sont des trojans d’accès à distance très répandus : XtremeRAT et PoisonIvy. Leurs activités reposent fortement sur l’ingénierie sociale. Ils utilisent des noms de fichiers en rapport avec les fonctions des services IT et de la gestion des incidents, ainsi que du contenu et des noms de domaine qui pourraient intéresser les victimes (par exemple, « .gov.uae.kim »).

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide de l’antivirus réseau Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les malwares. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des malwares.

Menaces sur les appareils nomades

La source principale de revenus pour les menaces sur les appareils nomades demeure l’affichage de publicités. Le nombre de programmes qui forcent l’affichage de publicités sur les appareils nomades (AdWare) poursuivent leur croissance. Ils ont constitué au troisième trimestre plus de la moitié de l’ensemble des menaces pour mobiles détectés.

Nous observons également une augmentation du nombre de programmes qui utilisent la publicité comme principale source de revenus, mais qui appliquent des méthodes caractéristiques des auteurs de virus. Ils obtiennent souvent l’accès root sur le périphérique de la victime et utilisent les autorisations de super-utilisateur, ce qui complique énormément la lutte contre cette menace, voire la rend impossible. Au 3e trimestre 2015, ces Trojans ont occupé plus de la moitié des places du Top 20 des malwares pour appareils nomades les plus répandus.

Les Trojans-SMS sont un autre moyen de gagner de l’argent qui est toujours d’actualité, particulièrement en Russie. Pour rappel, ces malwares envoient des SMS payants depuis l’appareil infecté à l’insu de son propriétaire. Bien que leur part dans le flux général des menaces pour appareils nomades continue de diminuer, les Trojans SMS dominent toujours les malwares pour appareils nomades en termes de nouveaux exemplaires détectés au cours du trimestre.

Mais les individus malintentionnés ne se limitent pas à l’affichage de publicités ou à l’envoi de SMS payants pour gagner de l’argent. Ils s’intéressent également aux comptes en banque des utilisateurs. A l’issue du trimestre, la part globale des bankers pour appareils nomades et des logiciels espion qui volent les informations personnelles des utilisateurs dépasse la part des Trojans SMS de 0,07%

Nombre de nouvelles menaces pour appareils nomades

Au 3e trimestre 2015, Kaspersky Lab a détecté 323 374 nouveaux malwares pour appareils nomades, soit 1,1 fois de plus qu’au 2e trimestre 2015 et 3,1 fois de plus qu’au 1er trimestre 2015.

Le nombre de fichiers d’installation de malwares détectés a atteint quant à lui 1 583 094, soit 1,5 fois de plus qu’au trimestre précédent.

Nombre de paquets d’installation malveillants détectés
et nouvelles menaces pour appareils nomades (T1 2015 – T3 2015)

Répartition des malwares détectés par type

2_FR

Répartition des nouveaux malwares mobiles détectés par type,
deuxième et troisième trimestres 2015

Les logiciels publicitaires potentiellement indésirables (AdWare) dominent le classement des objets détectables pour appareils nomades détectés au 3e trimestre 2015. Alors qu’ils occupaient encore la 2e position avec 19 % au trimestre dernier, leur part a vraiment explosé ce trimestre pour atteindre 52,2 %.

La catégorie RiskTool qui reprend les applications légitimes qui représentent un danger potentiel pour les utilisateurs occupe la 2e position. Une utilisation inadéquate par le propriétaire du smartphone ou une exploitation par un individu malintentionné pourrait entraîner des pertes financières. La part de RiskTool a chuté de 16,6 % par rapport au trimestre antérieur et ils ont perdu leur première position.

La part de Trojan-SMS dans le flux général des menaces pour appareils nomades a reculé encore de 1,9 point de pourcentage pour atteindre 6,2 %, mais la catégorie domine toujours les malwares pour appareils nomades.

Trojan-Spy suit directement Trojan-SMS avec 5,4 %. Ces programmes volent les données personnelles des utilisateurs, y compris les SMS (mTAN) envoyés par les banques.

Parmi les malwares pour appareils nomades au 3e trimestre, les taux de croissance les plus élevés ont été enregistrés pour la catégorie Trojan-Banker dont la part a plus que doublé et atteignait 0,8 % contre 0,6 % au 2e trimestre. 630 malwares de cette catégorie avaient été détectés au trimestre dernier. Pour ce trimestre, ce chiffre est supérieur à 2 500, soit 4 fois plus.

Top 20 des malwares pour appareils nomades

Le classement des malwares fourni ci-dessous ne reprend pas les applications potentiellement dangereuses ou indésirables comme RiskTool et les logiciels publicitaires.

Nom % d’utilisateurs attaqués*
1 DangerousObject.Multi.Generic 46,6
2 Trojan.AndroidOS.Rootnik.d 9,9
3 Trojan-SMS.AndroidOS.Podec.a 7,4
4 Trojan-Downloader.AndroidOS.Leech.a 6,0
5 Trojan.AndroidOS.Ztorg.a 5,5
6 Exploit.AndroidOS.Lotoor.be 4,9
7 Trojan-Dropper.AndroidOS.Gorpo.a 3,3
8 Trojan-SMS.AndroidOS.Opfake.a 3,0
9 Trojan.AndroidOS.Guerrilla.a 2,9
10 Trojan-SMS.AndroidOS.FakeInst.fz 2,6
11 Trojan-Ransom.AndroidOS.Small.o 2,3
12 Trojan-Spy.AndroidOS.Agent.el 2,1
13 Trojan.AndroidOS.Ventica.a 1,9
14 Trojan.AndroidOS.Ztorg.b 1,9
15 Trojan.AndroidOS.Ztorg.pac 1,8
16 Trojan.AndroidOS.Fadeb.a 1,6
17 Trojan-SMS.AndroidOS.Smaps.a 1,5
18 Trojan.AndroidOS.Iop.a 1,5
19 Trojan.AndroidOS.Guerrilla.b 1,5
20 Trojan-SMS.AndroidOS.FakeInst.fi 1,4

* Pourcentage d’utilisateurs attaqués par ce malware sur l’ensemble des utilisateurs attaqués

DangerousObject.Multi.Generic (46,6%) occupe la première position. La détection de ces nouveaux malwares mobiles s’opère à l’aide des technologies cloud Kaspersky Security Network, qui permettent à nos produits de réagir rapidement aux nouvelles menaces inconnues. Signalons que la part de DangerousObject.Multi.Generic dans le flux global a pratiquement triplé : elle est passée de 17,5 % au trimestre dernier à 46,6 % au cours de celui-ci.

Par rapport au trimestre antérieur, le nombre de Trojans qui gagnent de l’argent principalement via la publicité a sensiblement augmenté dans ce Top 20. Alors qu’au 2e trimestre, le Top 20 ne comptait que six programmes de cette catégorie, ils sont onze au 3e trimestre: trois programmes de la famille Trojan.AndroidOS.Ztorg, deux programmes de la famille Trojan.AndroidOS.Guerrilla, Trojan.AndroidOS.Rootnik.d, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan-Spy.AndroidOS.Agent.el, Trojan.AndroidOS.Ventica.a et Trojan.AndroidOS.Fadeb.a.

A la différence des modules publicitaires traditionnels, ces programmes ne possèdent aucune fonction utile. Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possible via différentes méthodes, dont l’installation de nouveaux logiciels publicitaires. Ces Trojans peuvent exploiter les autorisations de super-utilisateur pour se dissimuler dans le dossier système d’où il sera difficile de les déloger.

Il convient de mettre en évidence Trojan-Spy.AndroidOS.Agent.el dans cette liste. On le retrouve même dans les progiciels de certains éditeurs.

Trojan-SMS.AndroidOS.Podec.a (9,7 %) figure dans le Top 3 des menaces pour appareils nomades pour le 4e trimestre consécutif et cela s’explique par sa propagation active. Nous tenons à signaler que la fonction des versions les plus récentes de ce Trojan a été modifiée : l’envoi de SMS n’est pas prévu. Ce Trojan se concentre entièrement sur les abonnements payants et utilise pour ce faire la reconnaissance des codes CAPTCHA.

Trojan-SMS.AndroidOS.Smaps.a occupe la 17e position. Certaines de ses versions sont capables de diffuser du courrier indésirable sur instruction du serveur via l’application Viber, si celle-ci est installée chez la victime. Pour ce faire, le Trojan n’a besoin d’aucune autorisation spéciale et l’utilisateur ne doit rien faire.

Répartition géographique des menaces pour appareils nomades

Carte des tentatives d’infection par des malwares pour appareils nomades au troisième trimestre 2015 (pourcentage de l’ensemble des utilisateurs attaqués)

Top 10 des pays par pourcentage d’utilisateurs attaqués par des malwares pour appareils nomades:

Pays* % d’utilisateurs attaqués**
1 Bangladesh 22,57
2 Chine 21,45
3 Nigeria 16,01
4 Tanzanie 15,77
5 Iran 13,88
6 Malaisie 13,65
7 Algérie 12,73
8 Népal 12,09
9 Kenya 11,17
10 Indonésie 10,82

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils nomades de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage d’utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils nomades de Kaspersky Lab dans le pays

Pays les plus sûrs selon cet indicateur:

Pays % d’utilisateurs attaqués**
1 Japon 1,13
2 Canada 2,87
3 Danemark 3,20
4 Suède 3,45
5 Australie 3,48

Bien que l’Australie figure dans le Top 5 des pays sûrs par rapport au risque d’infection par des malwares pour appareils nomades, il faut mentionner que la situation dans ce pays n’est pas aussi rose qu’on pourrait le croire : Au 3e trimestre, les utilisateurs australiens ont été plus souvent exposés à des attaques de Trojans bancaires pour appareils nomades que les utilisateurs d’autres pays (cf. ci-dessous).

Trojans bancaires pour appareils nomades

Nous avons détecté au cours de la période couverte par le rapport 2 516 Trojans bancaires pour appareils nomades, soit près de 4 fois plus qu’au trimestre antérieur.

Nombre de Trojans bancaires dans la collection de Kaspersky Lab (T4 2014 à T3 2015)

Géographie des menaces bancaires pour appareils nomades au 3e trimestre 2015
(nombre d’utilisateurs attaqués)

Le nombre d’utilisateurs attaqués dépend du nombre total d’utilisateurs dans le pays. Pour évaluer et comparer le risque d’infection par des Trojans bancaires pour appareils nomades dans les différents pays, nous avons créé un classement des pays par pourcentage d’utilisateurs attaqués par des Trojans bancaires pour appareils nomades.

Top 10 des pays par pourcentage d’utilisateurs attaqués par des Trojans bancaires pour appareils nomades

Pays* % d’utilisateurs attaqués par des Trojans bancaires**
1 Australie 0,85
2 Corée, République de 0,40
3 Russie 0,32
4 Chypre 0,32
5 République tchèque 0,31
6 Autriche 0,27
7 Kirghizstan 0,26
8 Bulgarie 0,24
9 Roumanie 0,23
10 Ouzbékistan 0,23

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils nomades de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays d’utilisateurs uniques attaqués par des Trojans bancaires pour appareils nomades par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils nomades de Kaspersky Lab dans le pays

L’Australie, qui occupait la 8e position au trimestre précédent, se retrouve en tête du classement à l’issue du 3e trimestre. Le pourcentage d’utilisateurs attaqués en Australie par des malwares bancaires pour appareils nomades a été multiplié par 6 (il passe de 0,14 à 0,85 %). Cette hausse sensible s’explique par la diffusion active de Trojan-Banker.AndroidOS.Agent.ad. Ce Trojan vole le nom d’utilisateur et le mot de passe d’accès au système de banque électronique d’une des plus grandes banques d’Australie. Il tente également de voler les données des cartes bancaires des utilisateurs (nom du détenteur, numéro de la carte, CVV, date d’expiration).

De son côté l’indice pour la Corée, qui occupait la 1re position au 2e trimestre, a été divisé quasiment par 6 (il passe de 2,37 à 0,4 %) et le pays occupe désormais la 2e position.

Top 10 des pays par part des utilisateurs victimes de bankers pour appareils nomades sur l’ensemble des utilisateurs attaqués

La popularité des Trojans bancaires pour appareils nomades auprès des individus malintentionnés dans chaque pays se note sur le rapport entre le nombre d’utilisateurs attaqués au moins une fois au cours du trimestre par des trojans pour appareils mobiles et l’ensemble des utilisateurs dans ce même pays chez qui le logiciel antivirus pour appareils mobiles s’est déclenché au moins une fois. Ce classement diffère de celui présenté ci-dessus:

Pays* Pourcentage d’utilisateurs attaqués par des bankers, sur l’ensemble des utilisateurs attaqués**
1 Australie 24,31
2 Autriche 7,02
3 Monténégro 5,92
4 Corée, République de 5,69
5 France 5,66
6 Chypre 5,56
7 Russie 5,09
8 République tchèque 4,98
9 Suède 4,81
10 Finlande 4,56

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils nomades de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage d’utilisateurs uniques dans le pays, attaqués par des Trojans bancaires pour appareils nomades, par rapport à l’ensemble des utilisateurs uniques dans ce pays attaqués par des malwares pour appareils nomades.

En Australie, malgré sa 1re position de ce classement, un peu moins de 25 % de l’ensemble des utilisateurs attaqués par des malwares pour appareils nomades ont été victimes d’attaques de bankers pour appareils nomades.

En Russie, la part d’attaques de Bankers par rapport à l’ensemble des attaques de malwares pour appareils nomades a diminué de près de la moitié: elle passe de 10,35 à 5,09 %. Ceci s’explique par le recul marqué de l’activité de la famille de Trojans bancaires Trojan-Banker.AndroidOS.Marcher qui est une des plus répandues dans le pays. Par rapport au 2e trimestre, le nombre d’attaques au 3e trimestre impliquant ce malware a été pratiquement divisé par 10.

Applications vulnérables utilisées par les individus malintentionnés

Le classement des applications vulnérables repris ci-après repose sur les données relatives aux codes d’exploitation bloqués par nos produits et utilisés par des individus malintentionnés dans le cadre d’attaques via Internet ou lors de l’infection d’applications locales, y compris sur les appareils nomades des utilisateurs.

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T3 2015<

Par rapport au 2e trimestre 2015, nous observons les modifications suivantes:

  1. Augmentation de 2 % du nombre de codes d’exploitation pour Adobe Flash Player.
  2. Réduction de 5 % du nombre de codes d’exploitation pour Adobe Reader.

Au cours de ce trimestre, comme sur l’ensemble de l’année, nous avons observé l’utilisation de codes d’exploitation pour Adobe Flash Player. Leur part a atteint 5 %, mais ils sont plus nombreux dans la nature et à l’heure actuelle, la majorité des kits d’exploitation utilise les vulnérabilités de cette application. A l’instar du trimestre antérieur, la part de codes d’exploitation pour Java (9 %) au 3e trimestre continue de diminuer. A l’heure actuelle, nous n’observons pas l’utilisation de codes d’exploitation pour cette application dans le kit d’exploitation.

Au 3e trimestre, les kits d’exploitation les plus connus contenaient des codes d’exploitation pour les vulnérabilités suivantes:

  1. CVE-2015-5560 (Adobe Flash; ce code d’exploitation a été décrit dans un article de Kaspersky Lab)
  2. CVE-2015-2419 (Internet Explorer)
  3. CVE-2015-1671 (Silverlight)

Au trimestre précédent, nous avions observé une augmentation sensible du nombre de diffusions de spam contenant des fichiers PDF malveillants. Au cours du 3e trimestre, ce type de diffusion a sensiblement diminué, ce qui explique la réduction de la part des codes d’exploitation pour Adobe Reader.

Sur l’ensemble du 3e trimestre 2015, la tendance observée pour 2015, à savoir que les individus malintentionnés sont surtout intéressés par des codes d’exploitation pour Adobe Flash Player et Internet Explorer, se maintient. Dans notre diagramme, ce dernier entre dans la catégorie « Navigateurs » où figurent également les détections de landing pages qui « diffusent » les codes d’exploitation.

Malwares sur Internet (attaques via des ressources Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Menaces en ligne dans le secteur financier

Les statistiques réelles reposent sur les verdicts détectés par les produits de Kaspersky Lab qui ont été transmis par les utilisateurs des produits de Kaspersky Lab qui avaient accepté de transmettre des statistiques.

Au 3e trimestre 2015, les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution de malwares conçus pour voler l’argent via les systèmes de banques en ligne sur les ordinateurs de 625 669 utilisateurs. Par rapport au trimestre antérieur (755 642), cet indice a enregistré un recul de 17,2 points de pourcentage. Il y a un an, au 3e trimestre 2014, il avait atteint 591 688 ordinateurs d’utilisateurs.

Au total, les solutions de protection de Kaspersky Lab ont enregistré 5 686 755 notifications de tentatives d’infection par des malwares développés pour le vol d’argent via les systèmes de banque en ligne.

Nombre d’attaques menées par des malwares financiers contre des utilisateurs, troisième trimestre 2015

Répartition géographique des attaques

Pour évaluer et comparer le risque d’infection par des Trojans bancaires auquel sont exposés les ordinateurs d’utilisateurs issus de différents pays, nous avons calculé pour chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confronté à cette menace au cours de la période couverte par le rapport sur l’ensemble des utilisateurs de nos produits dans le pays.

Géographie des attaques de malwares bancaires au troisième trimestre 2015
(pourcentage d’utilisateurs attaqués)

Top 10 des pays en fonction du pourcentage d’utilisateurs attaqués

Pays* % d’utilisateurs attaqués**
1 Autriche 4,98
2 Singapour 4,23
3 Turquie 3,04
4 Namibie 2,91
5 Nouvelle-Zélande 2,86
6 Hong Kong 2,81
7 Australie 2,78
8 Liban 2,60
9 Emirats arabes unis 2,54
10 Suisse 2,46

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
** Pourcentage d’utilisateurs uniques de KL, victimes d’attaques de malwares financiers, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

Au troisième trimestre 2015, l’Autriche a décroché la première position du classement du nombre d’utilisateurs de Kaspersky Lab attaqués par des Trojans bancaires. Singapour, en tête du classement au trimestre dernier, se retrouve en 2e position. Signalons que dans la majorité des pays du Top 10, le nombre d’utilisateurs de système de banque en ligne est important, ce qui attire les cybercriminels.

En Russie, 0,71 % des utilisateurs ont été confrontés au moins une fois au cours du trimestre à des trojans bancaires. Ce chiffre est pratiquement inchangé par rapport à l’indice du trimestre précédent (0,75 %). Aux Etats-Unis, cet indice a perdu 0,3 point de pourcentage au cours de ce trimestre et atteint 0,59 %. On observe une faible réduction du pourcentage d’utilisateurs attaqués par des bankers pour appareils nomades en Europe de l’Ouest également: en Espagne (1,95 %) – recul de 0,07 point de pourcentage, en Grande-Bretagne (1,24 %) — recul de 0,34 point de pourcentage, en Italie (1,16 %) – recul de 0,41 point de pourcentage et en Allemagne (1,03 %) – recul de 0,13 point de pourcentage.

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de banque en ligne au 3e trimestre 2015:

Nom* Pourcentage d’attaques**
1 Trojan-Downloader.Win32.Upatre 63,13
2 Trojan-Spy.Win32.Zbot 17,86
3 Trojan-Banker.JS.Agent 1,70
4 Trojan-Banker.Win32.ChePro 1,97
5 Backdoor.Win32.Caphaw 1,14
6 Trojan-Banker.Win32.Banbra 1,93
7 Trojan-Banker.AndroidOS.Faketoken 0,90
8 Trojan-Banker.AndroidOS.Agent 0,57
9 Trojan-Banker.Win32.Tinba 1,93
10 Trojan-Banker.AndroidOS.Marcher 0,55

* Verdicts détectés par les produits de Kaspersky Lab. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage de l’ensemble des attaques de malwares financiers enregistrées sur les ordinateurs d’utilisateurs uniques.

L’écrasante majorité des malwares des familles du Top 10 utilise la technique d’injection d’un code HTML arbitraire dans la page affichée par le navigateur (un classique pour les Trojans bancaires) et d’interception des données de paiement saisies par les utilisateurs dans les formulaires en ligne originaux et de substitution.

Les malwares de la famille Trojan-Downloader.Win32.Upatre domine toujours le classement. Ils ne dépassent pas 3,5 Ko et leur fonction se limite au téléchargement d’une « charge utile » sur l’ordinateur infecté. Le plus souvent, il s’agit de Trojans bancaires de la famille Dyre/Dyzap/Dyreza. La découverte du premier représentant de cette famille remonte à juin 2014. Sa fonction principale est le vol des données de paiement de l’utilisateur. Pour ce faire, Dyre utilise l’interception des données de la session bancaire entre le navigateur de la victime et l’application Internet de banque en ligne. Toutefois à l’été 2015, le téléchargeur Trojan-Downloader.Win32.Upatre a été remarqué sur des routeurs domestiques compromis, ce qui témoigne des nombreuses utilisations de ce Trojan par des individus malintentionnés.

Trojan-Spy.Win32.Zbot (2e position) est un habitué de ce classement. Sa présence continue dans le haut du classement n’a rien d’étonnant. Les Trojans de la famille Zbot figurent parmi les premiers à avoir utilisé les injections Internet pour compromettre les données de paiement des utilisateurs de systèmes de banque électronique et modifié le contenu des pages Internet de la banque. Ils utilisent plusieurs niveaux de chiffrement pour leurs fichiers de configuration et le fichier de configuration déchiffré n’est pas conservé en entier dans la mémoire, mais bien chargé en plusieurs morceaux. Cela confère à Trojan-Spy.Win32.Zbot un avantage technologique sur ses concurrents.

La 3e position pour ce trimestre revient à la famille Trojan-Banker.JS.Agent, un code JS malveillant qui est le résultat d’une procédure d’injection dans une page de banque électronique. Ce code vise à intercepter les données de paiement que l’utilisateur saisit dans le formulaire sur la page du système de banque en ligne.

Signalons que ce classement compte la présence de trois familles de Trojans bancaires pour appareils nomades : Trojan-Banker.AndroidOS.Faketoken, Trojan-Banker.AndroidOS.Marcher (nous en avons parlé au trimestre précédent) et une nouveauté du classement, Trojan-Banker.AndroidOS.Agent. Les programmes de cette famille volent les données de paiement depuis les appareils nomades Android.

Top 10 des systèmes d’exploitation attaqués par les Trojans bancaires

Au 3e trimestre, ce sont les utilisateurs des systèmes d’exploitation Windows qui ont été le plus souvent victimes d’attaques de malwares financiers. Ceci n’est pas une surprise vu le nombre d’appareils qui tournent sous les systèmes d’exploitation de cette famille. Les utilisateurs Windows 7 x64 Edition ont été les utilisateurs les plus souvent confrontés à des attaques de Trojans bancaires : ainsi, ils ont été exposés à 42,2 % de l’ensemble des attaques financières au 3e trimestre. Le Top des systèmes d’exploitation attaqués reprend également Android.

Système d’exploitation Pourcentage d’attaques*
Windows 7 x64 Edition 42,2
Windows 7 11,6
Windows 7 Home x64 Edition 5,5
Windows XP Professional 7,0
Windows 8.1 Home x64 Edition 3,7
Windows 8.1 x64 Edition 2,3
Windows 7 Home 1,3
Windows 10 x64 Edition 1,2
Android 4.4.2 0,6
Windows NT 6.3 x64 Edition 0,7

* Pourcentage de l’ensemble des attaques de malwares financiers observées sur les ordinateurs d’utilisateurs uniques qui ont accepté de transmettre des données statistiques.

S’il est vrai que les systèmes d’exploitation Mac OS X ne figurent pas dans ce classement, il faut rappeler que les utilisateurs de cette plateforme ne peuvent pas se considérer comme étant totalement à l’abri: au cours du 3e trimestre, des ordinateurs tournant sous Mac OS X ont été attaqués à 12 492 reprises.

Top 20 des objets détectés sur Internet

Au 3e trimestre 2015, notre Antivirus Internet a détecté 38 233 047 objets uniques (scripts, codes d’exploitation, fichiers exécutables, etc.) et enregistré 75 408 534 URL uniques où l’Antivirus s’est déclenché.

Parmi l’ensemble des objets malveillants et potentiellement indésirables détectés, nous avons sélectionné les 20 plus actifs, responsables de 95% de l’ensemble des attaques sur Internet.

Top 20 des objets détectés sur Internet

Nom* % de l’ensemble des attaques**
1 Malicious URL 53,63
2 AdWare.JS.Agent.bg 16,71
3 AdWare.Script.Generic 7,14
4 Trojan.Script.Generic 6,30
5 Trojan.Script.Iframer 3,15
6 Trojan.Win32.Generic 1,52
7 AdWare.Win32.SoftPulse.heur 1,31
8 AdWare.JS.Agent.bt 1,09
9 AdWare.Win32.OutBrowse.heur 0,84
10 Trojan-Downloader.Win32.Generic 0,63
11 AdWare.NSIS.Vopak.heur 0,46
12 Exploit.Script.Blocker 0,46
13 Trojan-Downloader.JS.Iframe.diq 0,30
14 AdWare.Win32.Amonetize.aqxd 0,30
15 Trojan-Downloader.Win32.Genome.tqbx 0,24
16 AdWare.Win32.Eorezo.abyb 0,23
17 Hoax.HTML.ExtInstall.a 0,19
18 Trojan-Clicker.HTML.Iframe.ev 0,17
19 AdWare.Win32.Amonetize.bgnd 0,15
20 Trojan.Win32.Invader 0,14

* Verdicts détectés du module Antivirus Internet. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Le Top 20 reprend une majorité de verdicts attribués à des objets utilisés dans le cadre d’attaque de type drive-by, ainsi que des logiciels publicitaires. Ces derniers verdicts occupent 9 positions sur les 20 du classement.

Notons le verdict Hoax.HTML.ExtInstall.a attribué à la page Internet qui bloque le navigateur de l’utilisateur et entraîne l’installation d’une extension pour Chrome. Lorsque l’utilisateur tente de fermer la page, il entend souvent le fichier voice.mp3: « pour fermer la page, cliquez sur le bouton ajouter ».

Page Internet qui force l’installation d’une extension pour Chrome

Les extensions proposées ne nuisent pas à l’utilisateur, mais l’utilisateur ne peut pratiquement pas refuser l’offre. C’est la raison pour laquelle les produits de Kaspersky Lab détectent la page correspondante avec la fenêtre contextuelle. Ce mode de propagation de l’extension a été adopté par un des programmes de partenariat.

Pays source des attaques Internet: Top 10

Les données statistiques illustrent la répartition des sources d’attaque Internet bloquées par l’Antivirus Internet sur les ordinateurs des utilisateurs (pages Internet avec redirections vers des codes d’exploitation, des sites hébergeant des codes d’exploitation et d’autres malwares, centres de commande de réseaux de zombies, etc. Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au troisième trimestre 2015, les solutions de Kaspersky Lab ont repoussé 235 415 870 attaques organisées depuis des ressources Internet dans différents pays. 80% des notifications relatives aux attaques Internet bloquées ont été obtenues suite à des tentatives d’attaques émanant de dix pays.

Répartition par pays des sources d’attaques Internet, T3 2015

Par rapport au trimestre précédent, les Etats-Unis décrochent la tête du classement avec 26,9 % et changent de place avec la Russie (18,8 %). Les Îles Vierges et Singapour quittent le Top 10 et sont remplacés par la Suède (1,43 %) et le Canada (1,42 %).

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé dans chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés à des déclenchements de l’Anti-Virus Internet au cours de la période couverte par le rapport. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

Pays* % d’utilisateurs uniques attaqués**
1 Russie 38,20
2 Népal 36,16
3 Kazakhstan 33,79
4 Ukraine 33,55
5 Syrie 32,10
6 Azerbaïdjan 32,01
7 Biélorussie 30,68
8 Vietnam 30,26
9 Chine 27,82
10 Thaïlande 27,68
11 Arménie 27,65
12 Brésil 26,47
13 Algérie 26,16
14 Turquie 25,13
15 Mongolie 25,10
16 Kirghizstan 23,96
17 Macédoine 23,84
18 Lituanie 23,59
19 Bangladesh 23,56
20 Moldavie, République de 23,36

Ces statistiques reposent sur les verdicts détectés par l’Antivirus Internet et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
** Pourcentage d’utilisateurs uniques de KL, victimes d’attaques Internet, de l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

Le leader de notre classement reste inchangé : il s’agit une fois de plus de la Russie (38,2%). Par rapport au 2e trimestre, la Géorgie, la Croatie, le Qatar, la Bosnie-Herzégovine et la Grèce ont quitté le Top 20. Les entrées sont le Népal, qui arrive directement en 2e position (36,16 %), le Brésil (12e, 26,47 %), la Turquie (14e, 25,13 %), la Lituanie (18e, 23,59 %) et le Bangladesh (19e, 23,56 %).

Parmi les pays où la navigation sur Internet présente le moins de risques, citons la Suisse (17 %), la République tchèque (16 %), les Etats-Unis (16,3 %), Singapour (15 %), la Hongrie (13,8 %), la Norvège (13 %), l’Irlande (12,2%) et la Suède (10,8 %).

Au cours du trimestre, une moyenne de 23,4% des ordinateurs des Internautes au monde ont été exposés au moins une fois à une attaque Internet. Par rapport au trimestre antérieur, cet indice a enregistré un recul de 0,5 point de pourcentage.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Elles reprennent les objets qui sont parvenus sur un ordinateur via l’infection de fichiers ou de disques amovibles, ou les objets qui sont arrivés sur l’ordinateur de manière dissimulée (par exemple, des programmes au sein de programmes d’installation complexes, des fichiers chiffrés, etc.)

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

145 137 553 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus au 3e trimestre 2015.

Top 20 des objets découverts sur les ordinateurs des utilisateurs

Nom* % d’utilisateurs uniques attaqués**
1 DangerousObject.Multi.Generic 19,76
2 Trojan.Win32.Generic 14,51
3 Trojan.WinLNK.StartPage.gena 5,56
4 WebToolbar.JS.Condonit.a 4,98
5 AdWare.Script.Generic 4,97
6 WebToolbar.Win32.Agent.azm 4,48
7 RiskTool.Win32.GlobalUpdate.dx 3,63
8 WebToolbar.JS.AgentBar.e 3,63
9 WebToolbar.JS.CroRi.b 3,32
10 Downloader.Win32.Agent.bxib 3,20
11 AdWare.Win32.OutBrowse.heur 3,13
12 Adware.NSIS.ConvertAd.heur 3,08
13 AdWare.Win32.Generic 3,06
14 Downloader.Win32.MediaGet.elo 2,98
15 Trojan.Win32.AutoRun.gen 2,92
16 AdWare.Win32.BrowseFox.e 2,91
17 WebToolbar.Win32.MyWebSearch.si 2,82
18 AdWare.Win32.MultiPlug.heur 2,66
19 Virus.Win32.Sality.gen 2,61
20 RiskTool.Win32.BackupMyPC.a 2,57

* Verdicts détectés par les modules OAS et OAD de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.
** Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’antivirus a détecté cet objet, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

Généralement, ce classement reprend les verdicts attribués aux logiciels publicitaires et à leurs composants et les vers qui se propagent par disques amovibles.

Virus.Win32.Sality.gen, unique représentant des virus, continue de perdre du terrain. La part d’ordinateurs infectés par ce virus chute depuis quelques temps déjà. A l’issue de ce trimestre, Sality occupe la 19e position avec un indice de 2,61 %, soit un recul de 0,25 point de pourcentage par rapport au trimestre précédent.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour chacun des pays, nous avons calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés au déclenchement de l’Antivirus au cours de la période couverte par le rapport. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Top 20 des pays en fonction du degré d’infection des ordinateurs

Pays* % d’utilisateurs uniques**
1 Bangladesh 64,44
2 Vietnam 60,20
3 Népal 60,19
4 Géorgie 59,48
5 Somalie 59,33
6 Laos 58,33
7 Russie 57,79
8 Arménie 57,56
9 Afghanistan 56,42
10 Éthiopie 56,34
11 Rwanda 56,21
12 Syrie 55,82
13 Mozambique 55,79
14 Yémen 55,17
15 Cambodge 55,12
16 Algérie 55,03
17 Irak 55,01
18 Kazakhstan 54,83
19 Mongolie 54,65
20 Ukraine 54,19

Ces statistiques reposent sur les verdicts détectés par les modules OAS et ODS de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques. Nous avons également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.

* Nous avons exclu de nos calculs les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement réduit (inférieur à 10 000).
**Pourcentage d’utilisateurs uniques sur les ordinateur desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Mozambique (13e position, 55,8 %) et le Yémen (14e position, 55,2 %) figurent parmi les nouveautés du classement.

Les pays qui affichent les niveaux d’infection les plus bas sont la Suède (21,4 %), le Danemark (19,8 %) et le Japon (18,0 %).

En moyenne à travers le monde au 3e trimestre, des menaces locales ont été détectées au moins une fois sur 42,2% des ordinateurs des utilisateurs, soit une augmentation de 2,2 points de pourcentage par rapport au 2e trimestre 2015.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *