Kaspersky Security Bulletin janvier à juin 2006 : Programmes malveillants pour appareils nomades : les risques d’infection augmentent

  1. Développement du malware
  2. Autres plateformes Win32. Situation sur le front des programmes malveillants
  3. Attaques Internet – panorama de la période janvier-juin 2006
  4. Programmes malicieux pour appareils nomades : les risques d’infection augmentent
  5. Courrier indésirable au 1er semestre 2006

Le nombre de virus connus pour Windows Mobile a doublé au cours du premier semestre 2006. Dès que le nombre de téléphone « intelligents » sera comparable au nombre d’ordinateurs personnels, les risques d’épidémies de virus seront comparables également. Il n’est pas improbable que le nombre de téléphones intelligents atteigne près de 100 millions d’unités dans le monde en 2007. Un tel nombre de victimes potentiels va certainement attirer l’attention d’un grand nombre de cyber-criminels et d’auteurs de virus.

Dynamique de l’émergence de nouveaux programmes malveillants

Les auteurs de virus pour téléphones portables ont manifesté un regain d’activité au début de l’année 2006 en lançant dans la nature toute une série de nouveaux programmes malveillants de qualité pour les téléphones portables. Ces créations se caractérisent par la diversité des plates-formes ciblées et marquent une expansion dans le domaine des technologies mobiles qui avaient été délaissées jusqu’à présent.

En février et mars, le nombre de nouveaux programmes malveillants pour appareils nomades augmentait de 5 à 7 unités par semaine, voire de 10. Alors qu’on comptait environ 150 virus connus pour Symbian au début de l’année, ce nombre allait atteindre près de 300 en été. Plusieurs éditeurs de logiciels antivirus ont relevé ce fait, même s’il est toujours difficile de citer un chiffre exact en raison des différentes méthodes de détection des logiciels antivirus.
Au deuxième trimestre 2006, nous avons assisté à l’arrêt de la croissance du nombre de nouveaux échantillons, aussi bien pour les familles connues que pour les nouvelles.


Evolution du nombre de versions connues de virus mobiles

Les auteurs de virus n’ont cessé de parfaire leurs connaissances et leur savoir-faire et ont été particulièrement attentifs aux méthodes permettant de résister aux logiciels antivirus et aux moyens d’infecter un ordinateur personnel à l’aide de la mémoire du téléphone (les chevaux de Troie Cardtrap installent sur la carte mémoire du téléphone divers chevaux de Troie pour les systèmes Win32).

S’agissant des virus connus, il faut signaler le ver ComWar, diffusé sous forme de MMS, qui, au cours des six derniers mois, est devenu le code malveillant le plus répandu dans le trafic MMS. De son côté, Cabir a connu un certain ralentissement dans sa diffusion. Alors que Cabir s’est manifesté en hiver, à partir du mois de décembre, régulièrement dans des attaques signalées, notamment par des collaborateurs de Kaspersky Lab, dans le métro moscovite, ces attaques ont cessé en été.

Codes conceptuels au premier semestre 2006

Symbian

La plate-forme Symbian est arrivée au stade où des chevaux de Troie espion commerciaux sont créés tout spécialement pour elle. Le premier logiciel espion complètement opérationnel a été découvert en avril 2006. Répondant au nom de Flexispy, ce code vendu pour 50 dollars américains sur le site Internet de ses auteurs peut prendre les commandes d’un téléphone intelligent et envoyer à la personne mal intentionnée toutes les informations relatives aux appels réalisés et aux messages SMS envoyés.

Windows Mobile

Windows Mobile, deuxième système d’exploitation en terme de popularité pour les téléphones intelligents, n’a pas été ignoré. Le nombre de virus connus pour Windows Mobile a doublé au cours du premier semestre 2006. Bien évidemment, cette croissance impressionnante s’explique uniquement par le fait qu’il n’existait jusqu’à présent que deux codes malveillants (le virus Duts et la porte dérobée Brador). Les deux nouveaux membres de la famille sont sans conteste des « œuvres » conceptuelles capables d’orienter le travail des autres auteurs de virus.

Virus inter-plateformes

Le virus Cxover est certainement le premier virus mobile multiplateforme. A son lancement, il vérifie le système d’exploitation dans lequel il se trouve et une fois lancé sur l’ordinateur personnel, il recherche les appareils nomades accessibles via ActiveSync. Ensuite, le virus envoie sa copie via ActiveSync vers l’appareil identifié. Une fois qu’il se trouve sur le téléphone (ou l’ordinateur de poche), le virus tente de réaliser la procédure inverse et d’envoyer sa copie vers l’ordinateur personnel. Ce virus est capable également de supprimer les fichiers utilisateurs sur l’appareil nomade.

Le ver Letum, découvert en avril, appartient également à la catégorie des codes malveillants multiplateforme. Ces créateurs ont exploités les possibilités de .NET, un environnement de programmation qui fonctionne sur les ordinateurs personnels et sur les appareils tournant sous Windows Mobile. Letum est un ver de messagerie traditionnel qui se propage sous la forme d’une pièce jointe dans un message électronique et qui envoie sa copie adresses reprises dans le carnet d’adresses du client de messagerie (qui existe également sur les téléphones intelligents). Bref, la ligne de démarcation très marquée entre les virus pour appareils nomades et les virus pour ordinateurs personnelles a presque disparu. Ces appareils sont maintenant capables de s’infecter les uns les autres et cela risque de poser de très graves problèmes à l’avenir.

Les téléphones traditionnels sont également la cible des criminels

Mais la rupture la plus marquante ne concerne pas les téléphones intelligents. Pour la première fois, des téléphones portables traditionnels (et non pas des téléphones intelligents) tournant sous J2ME peuvent être infectés par certaines applications.

L’infection de n’importe quel téléphone portable existants, jugée jusqu’à présent peu probable, est devenue une réalité. Cela faisait déjà un certain temps que ce cheval de Troie était dans la nature et qu’il avait fait des victimes. Ce cheval de Troie a été baptisé Trojan-SMS.J2ME.RedBrowser.a. Nous avons également découvert une variante.

L’émergence de chevaux de Troie pour J2ME est un événement tout aussi significatif que l’apparition du premier ver pour les téléphones intelligents en juin 2004. Il est encore trop tôt pour évaluer toutes les menaces mais le fait que le nombre de téléphones portables traditionnels dépasse celui des téléphones intelligents et que les individus mal intentionnés ont déjà compris qu’ils pouvaient infecter et utiliser à leurs fins ces téléphones nous force à envisager des solutions antivirales pour cette catégorie d’appareils également.

L’hybridisation en tant que méthode de création de nouvelles familles de virus

Voici les statistiques relatives à l’apparition de nouvelles familles de virus en 2006 :

Nom Date Système d’exploitation Fonction Bases technologiques
Trojan-SMS.J2ME.RedBrowser Février J2ME Diffusion de SMS Java, SMS
Worm.MSIL.Cxover Mars .NET Suppression de fichiers, copie du corps du ver sur d’autres appareils File (API), NetWork (API)
Worm.SymbOS.StealWar Mars Symbian Vol d’informations, diffusion via Bluetooth et MMS Bluetooth, MMS, File (API)
Email-Worm.MSIL.Letum Mars .NET Diffusion via courrier électronique Email, File (API)
Trojan-Spy.SymbOS.Flexispy Avril Symbian Vol d’informations
Trojan.SymbOS.Rommwar Avril Symbian Remplacement des applications système Vulnérabilité du système d’exploitation
Trojan.SymbOS.Arifat Avril Symbian
Trojan.SymbOS.Romride Juin Symbian Remplacement des applications système Vulnérabilité du système d’exploitation

Evolution de la quantité de familles connues de virus mobiles

La montée en puissance des technologies hybrides pour les virus est l’un des faits marquants parmi les plus importants dans l’émergence de nouvelles familles de virus pour appareils nomades. L’exemple de Worm.SymbOS.StealWar est très représentatif. Il s’agit en fait de deux programmes malveillants déjà connus : l’espion Pbstealer et le ver ComWar. L’auteur de StealWar les a réuni au sein d’un module et a obtenu un ver qui possède les traits de ces deux « parents » (vol de données du carnet d’adresses et diffusion via MMS). De telles mutations ne sont pas une première. Ainsi, de nombreuses variantes de Skuller contiennent également des modifications du ver Cabir, ce qui suscite toujours des problèmes de classification pour les éditeurs de logiciels antivirus.

Le calme avant la tempête?

Comme nous l’avons déjà signalé, le deuxième trimestre 2006 a été marqué par l’arrêt de la croissance du nombre de nouveaux échantillons, aussi bien pour les familles connues que pour les nouvelles.

Le secteur des virus pour téléphones mobiles s’est développé de manière prévisible et régulière pendant près de deux ans après son apparition. La modification de la dynamique s’est opérée il y a quelques mois seulement et il est encore trop tôt pour établir un pronostic complet. Néanmoins, il convient d’étudier les causes qui ont entraîné cette modification.

L’avant-garde du développement de nouvelles technologies a toujours été composée de passionnés amoureux de concepts. Le secteur des virus pour téléphones portables n’est pas très développé et à l’heure actuelle, son développement dépend exclusivement de ces passionnés. Nous pouvons donc supposer que le recul de l’activité en matière de création de nouveaux virus conceptuels pour téléphones portables est lié à l’apparition d’un sujet plus « alléchant » pour ces chercheurs. Il pourrait s’agir par exemple des nombreuses vulnérabilités mises à jour dans les programmes de la suite MS Office vers la fin du printemps et au début de l’été.

Comme nous l’apprend la théorie de la virologie informatique, la communauté des auteurs de virus compte, en plus des passionnés, deux autres groupes sociaux importants : les cyber-criminels, à savoir des professionnels qui recherchent un profit grâce à la création ou à la diffusion de virus et les « script-kiddies », des fanas de technologies peu qualifiés qui utilisent des modèles prêts à l’emploi pour créer leur propres programmes malveillants, bien souvent primitifs.

S’agissant des cyber-criminels, ils ne se sont pas encore jetés dans la création de virus pour appareils portables. A l’heure actuelle, la majorité des téléphones utilisés sont de complexité moyenne, depuis les appareils les plus simples jusqu’aux téléphones intelligents. Ils ne présentent pas de possibilités techniques pour l’écriture d’un puissant virus à orientation commerciale et leur volume de mémoire ne permet pas de conserver des informations sensibles qui pourraient intéresser les cyber-criminels. Malgré cela, on recense déjà la première alerte sous la forme de cheval de Troie espion Flexispy pour Symbian qui envoie à son auteur le journal des SMS et des appels.

L’activité des scripts kiddies existe uniquement lorsqu’ils tentent de reproduire le travail des deux groupes précédents. Ils sont donc calmes pour l’instant et se contentent de reproduire des chevaux de Troie d’attaque par déni de service pour Symbian.

Cette accalmie sur le front des téléphones mobiles n’est que passagère. La vente de téléphones intelligents ne cesse d’augmenter tout comme l’ajout de nouvelles fonctions, ce qui signifie que l’entrée des auteurs de virus dans le secteur des téléphones mobiles est inévitable. Tous les éléments objectifs nous permettent de dire que nous vivons le calme avant la tempête. L’avenir, et plus particulièrement l’automne et l’hiver, nous le dira.

Tendances et prévisions

L’ampleur de la diffusion et de l’augmentation du nombre de téléphones intelligents est, selon nous, un des éléments clés qui définira le développement des virus pour téléphones mobiles à l’avenir : dès que le nombre de téléphone « intelligents » sera comparable au nombre d’ordinateurs personnels, les risques d’épidémies de virus seront comparables également.

Selon une étude réalisée par bureau d’étude IDC, près de 19 millions de téléphones intelligents ont été vendus dans le monde au cours des trois premiers mois de 2006. Cela représente une croissance de plus de 67% par rapport à la même période en 2005. Nous ne disposons pas des chiffres pour le deuxième trimestre de l’année mais il est évident qu’ils seront comparables.

Si l’on compte tous les téléphones intelligents vendus depuis leur entrée sur le marché, on peut estimer qu’il existe à l’heure actuelle plus de 50 millions de téléphones intelligents dans le monde. Entre 40 et 50% d’entre eux sont produits par Nokia. Autrement dit, tout ces appareils tournent sous Symbian, une des plates-formes préférées des virus pour téléphones portables comme les vers Cabir et ComWar. Les programmes malveillants dont le nom commence par le préfixe SymbOS représentent près de 100% du « parc » mobile. Au cours des 6 prochains mois, Symbian OS demeurera une cible de prédilection pour les individus mal intentionnés.

Il n’est pas improbable que le nombre de téléphones intelligents atteigne près de 100 millions d’unités dans le monde en 2007. Un tel nombre de victimes potentiels va certainement attirer l’attention d’un grand nombre de cyber-criminels et d’auteurs de virus.

En avril de cette année, nous avons mené notre propre enquête sur la répartition des téléphones intelligents en fonction du fabricant et du système d’exploitation utilisé. L’étude a eu lieu lors d’InfoSecurity London et ses résultats ont fait l’objet d’un article spécial.

Les résultats de notre enquête indiquent qu’environ 23% des appareils qui utilisent le protocole Bluetooth sont des téléphones intelligents. Parmi ceux-ci, plus de 80% sont compatibles avec la fonction Object Transfer. C’est cette fonction qui est indispensable à la diffusion de virus pour téléphones mobiles via Bluetooth (les vers Cabir et ComWar, les chevaux de Troie PbStealer, Skuller, etc.). Ces chiffres nous obligent une fois de plus à mettre l’accent sur un des principaux problèmes de sécurité parmi les appareils mobiles, à savoir le protocole BlueTooth.

Tout utilisateur d’un téléphone intelligent fonctionnant en mode Bluetooth « visible » peut être victime non seulement d’un ver d’appareil mobile mais également d’une attaque de pirate qui exploiterait une des nombreuses failles de ce protocole. Les recommandations sur l’usage modéré de Bluetooth (désactivation ou mode « invisible) sont toujours d’actualité et il convient également de faire attention aux messages MMS entrants.

Il ne faut pas non plus oublier Windows Mobile, deuxième système d’exploitation en terme de popularité pour les téléphones intelligents. La part des appareils Windows Mobile sur le marché augmente très rapidement et cela se traduit au niveau des virus SymbianWinMobile. De plus, l’élaboration de programmes malveillants pour WinMobile est plus simple du point de vue de la disponibilité des informations, des moyens de programmation et en raison du lien étroit avec les plates-formes Windows traditionnelles.

Bien entendu, les éditeurs de logiciels antivirus ne se laissent pas distancer. La croissance continue des menaces pour téléphones mobiles requiert des solutions adéquates pour la protection des utilisateurs. Cette année, plusieurs des leaders du marché des logiciels antivirus ont déjà publié des versions de leurs logiciels pour téléphones intelligents. Signalons la sortie de la version bêta de KAV Mobile 2.0, de l’antivirus bêta de BitDefender, ESTE, version pour WinMobile de TrendMicro et la solution complète pour les opérateurs et les abonnées de McAfee.

L’utilisation permanente d’un logiciel antivirus sur les téléphones va devenir un facteur de plus en plus important dans la protection des données confidentielles.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *