L’ennemi au téléphone

L’utilisateur lambda a coutume de penser que les smartphones ne sont pas exposés aux malwares. Il y a quelques années de cela, c’était bel et bien le cas car les éditeurs de plateformes pour appareils mobiles intégraient une protection maximale contre les malwares dès le début. Les systèmes d’exploitation pour appareils mobiles ne permettaient pas aux malwares de prendre aussi simplement les commandes de l’appareil.

Malheureusement, la situation a évolué au fil du temps, principalement à cause de l’élargissement des possibilités des appareils mobiles. Le smartphone tel que nous le connaissons actuellement est à la fois un outil de travail à part entière, un centre de loisirs et un outil de gestion des finances personnelles. Plus ses capacités augmentent, plus il suscite l’intérêt des individus malintentionnés, toujours prêt à gagner de l’argent au détriment des autres. Cet intérêt se traduit par la création d’un plus grand nombre de malwares et par une créativité plus étendue au niveau des modes de diffusion et d’infection.

A titre de confirmation, il suffit de voir la hausse marquée du nombre de Trojans pour appareils mobiles. La dynamique est impressionnante : depuis le premier trimestre 2012, le nombre de malware a plus que décuplé et au quatrième trimestre 2014, on comptait 12 millions de malwares de ce genre.

Nombre de paquets d’installation malveillants détectés

La répartition des malwares par type a également changé sensiblement. On voit bien comment les Trojan-SMS traditionnels et les portes dérobées multifonctionnelles cèdent la place aux programmes publicitaires malveillants et aux Trojan-Bankers. Toutefois, la réduction de la part d’un type quelconque de malware ne signifie pas du tout leur disparition de la scène. Pour rappel, le nombre global de malwares pour appareils mobile continue d’augmenter.

Répartition des malwares pour appareils mobiles par fonction
(fichiers tirés de la collection de Kaspersky Lab)

Si les auteurs de virus produisent des Trojans en de telles quantités, ce n’est pas pour les collectionner et se vanter sur les forums clandestins. Ils trouvent tous leurs victimes et aussi étonnant que cela puisse paraître, ces malwares se retrouvent sur les appareils mobiles grâce à des moyens rudimentaires.

Faites-le vous-même

Croyez-le ou non, mais les utilisateurs infectent eux-même leurs appareils mobiles.

La manière dont un malware peut se retrouver sur l’ordinateur d’un utilisateur à l’insu de ce dernier est bien connue. Vous vous rendez sur un site connu fréquenté qui a été attaqué par des individus malintentionnés et un site malveillant s’ouvre dans un frame caché. Ensuite, un arsenal de codes d’exploitation permet de télécharger le malware sur l’ordinateur.

La situation est quelque peu différente sur les appareils mobiles. Grâce aux principes de développement adoptés, il n’existe pratiquement aucune vulnérabilité qui permettrait à un pirate de s’introduire sur votre appareil à votre insu. C’est la raison pour laquelle, comme dans la blague connue du virus idiot ("supprimez s’il vous plaît toutes vos données importantes et formatez le disque dur"), c’est l’utilisateur qui doit installer et lancer lui-même le Trojan pour appareil mobile.

Le mécanisme d’installation des applications demeure un des points vulnérables des plateformes mobiles, surtout sous Android. Sous iOS, l’installation d’une application depuis un magasin autre que l’App Store demande un petit effort tandis que sous Android, il suffit simplement de décocher une case dans les paramètres du téléphone. Le système vérifie alors la signature numérique du paquet d’installation, ce qui devrait garantir une protection contre les malwares. Mais voici l’élément surprenant : il n’existe aucun centre de certification sous Android. Il est impossible de vérifier qui est le propriétaire de la signature. C’est la raison pour laquelle il suffit à l’individu malintentionné de signer l’application à l’aide d’une signature quelconque et l’installation peut se dérouler sans encombre à partir du moment où l’utilisateur l’a autorisée.

Et de nombreux utilisateurs donnent leur autorisation. Il est en effet bien plus simple d’appuyer sur la touche OK de la fenêtre de confirmation de l’installation que de penser aux actions de celle-ci.

Généralement, le concept de sécurité des informations est très éloigné des préoccupations de l’utilisateur lambda. La tentation est grande de ne pas payer pour une application utile ou un jeu intéressant, mais de simplement le télécharger gratuitement sur Internet. Et il est tout à fait probable que l’application téléchargée fonctionne comme le souhaite l’utilisateur, mais voilà que le solde de son compte de téléphonie mobile commence à fondre comme neige au soleil, son compte en banque est vidé… Et si un site intéressant propose de regarder une vidéo (il faudra toutefois mettre à jour Flash Player!), s’agit-il d’une menace ?

Fausse page de mise à jour d’Adobe Flash Player. Le message indique à l’utilisateur que sa version est obsolète et qu’il faut la mettre à jour.

L’utilisateur inexpérimenté ne sait pas que la mise à jour d’une application sur un smartphone se déroule différemment de la mise à jour sur des ordinateurs. De plus, les individus malintentionnés peuvent diffuser tout ce qu’ils veulent sous les traits de la mise à jour d’une application utile.

Les individus malintentionnés déterminés font preuve d’une persistance et déploient beaucoup d’astuces pour atteindre leurs objectifs : en général, les applications malveillantes sont propagées sous les traits d’applications utiles, de jeux, de vidéos pornographiques ou de lecteur pour vidéos pornographiques.

Comment hériter d’un programme malveillant

Vu que l’utilisateur doit installer lui-même le malware sur son smartphone, il faut trouver une manière d’attirer la victime potentielle sur une ressource d’où le malware sera téléchargé. C’est ici qu’intervient la pratique du référencement noir. Cette pratique consiste à afficher les ressources malveillantes dans les premiers résultats d’un moteur de recherche. Une fois que la ressource est bien classée, il n’y a plus qu’à attendre.

L’utilisateur qui s’ennuie prend son téléphone et lance une recherche telle que "jeux pour  Android télécharger" et voit parmi les premiers résultats un lien vers un site qui contient probablement et certainement des jeux, mais il ne s’agit pas de simples jeux, mais bien de jeux accompagnés d’une surprise des plus désagréables. Les Internautes ont tendance à faire confiance aux sites qui apparaissent en tête des résultats de recherche. La logique de l’utilisateur est la suivante : si ce site reçoit des milliers de visites, cela signifie qu’il proposera certainement le jeu ou l’application que l’utilisateur recherche. Il ne pense pas à la sécurité. Et c’est une grave erreur.

Afin de placer un site dans le haut des résultats, les individus malintentionnés utilisent souvent des réseaux de zombies : des milliers de bots lancent des recherches sur Google et Yandex et accèdent au site malveillant souhaité, ce qui améliore son classement. De plus, les liens vers la page qui intéresse les individus malintentionnés sont publiés dans des forums, des tableaux de messages ou dans des commentaires sur des sites d’information. Ils sont alors répertoriés par les robots de moteurs de recherche et le classement s’améliore encore plus.

Il serait injuste de dire que les moteurs de recherche ne font rien pour lutter contre ces méthodes de référencement des sites malveillants. Ils luttent contre ce fléau et bloquent ces sites par dizaines, voire par centaines. Mais pour les individus malintentionnés, cela ne pose aucun problème : ils créent sans cesse des sites à l’aide d’outils automatisés qu’ils référencent ensuite.

Les SMS non sollicités constituent un autre moyen d’attirer l’utilisateur sur un site qui héberge un malware. Ces SMS peuvent être envoyés dans le cadre d’une campagne massive et générique de diffusion de messages contenant un lien vers une ressource malveillante dans l’espoir qu’un utilisateur clique sur le lien. Mais la méthode la plus efficace est la diffusion à l’aide d’un ver SMS. Il suffit à ce genre de programme d’arriver sur le smartphone d’un utilisateur quelconque pour commencer à envoyer les SMS contenant le lien malveillant à tous les contacts du propriétaire du téléphone. On se méfie rarement d’un message envoyé par une connaissance, surtout si le message est bien rédigé. Nombreux sont les destinataires qui cliquent sur le lien dans l’attente de voir des photos personnelles ou une de ces images humoristiques qui circulent sur Internet en pensant que leur ami voulait les partager avec eux. Une fois sur le site, l’utilisateur recevra simplement le "cadeau" malveillant de l’individu malintentionné.

La troisième méthode est celle où les individus malintentionnés profitent de la fréquentation de ressources légitimes. Les pirates compromettent des ressources sur Internet qui reçoivent un volume important de visites : sites d’informations, magasins en lignes, portails thématiques. Si l’application du site contient des vulnérabilités connues des individus malintentionnés, ceux-ci pourront insérer un code sur la page qui renverra les visiteurs vers un autre site contenant les programmes malveillants. Si le site ne présente aucune vulnérabilité, le plan B consiste à voler les informations d’identification de l’administrateur via une attaque de phishing ou en exploitant l’ingénierie sociale. Si l’opération réussit, l’individu malintentionné pourra faire tout ce qu’il veut sur le site, y compris y héberger ses malwares.

Capture d’écran d’une copie d’Android Market

Les malwares pour appareils mobiles sont également diffusé à l’aide d’une méthode "presque honnête" : via des magasins d’applications. Il peut s’agir d’une application légitime qui contient un code malveillant, d’une application développée spécialement et qui imite l’exécution de fonctions utiles quelconque ou d’un malware sans artifice qui se cache uniquement dernière une icône et un nom.

Capture d’écran d’une copie de Google Play

Ce genre d’application est souvent chargé sur des magasins d’applications non officiels qui, soit ne disposent d’aucune protection, soit ne vérifient pas soigneusement le contenu des applications chargées et se limitent à une analyse antivirus automatique. Il existe toutefois des cas où ce genre de malware a pu s’introduire dans des magasins officiels : Google Play et même l’App Store d’Apple qui offre normalement une meilleure protection. Il va de soi que ces sociétés font preuve d’une certaine efficacité dans le nettoyage de leurs magasins, mais les individus malintentionnés ne restent pas assis, bras croisés.

Comment les individus malintentionnés gagnent-ils de l’argent ?

Dès que le malware s’est introduit sur votre smartphone, il se met au travail : remplir les poches de son propriétaire en vidant les vôtres. L’appareil mobile tel que nous le connaissons aujourd’hui est une vraie mine d’or. Le plus important est de savoir comment l’exploiter.

Malware pour appareils mobiles : méthodes de rentabilisation

Des ruses qui coûtent cher

La méthode la plus légitime pour gagner de l’argent pour un individu malintentionné est l’affichage forcé de publicités. Cette pratique ne vous nuit pas particulièrement mais très vite, ces bannières publicitaires qui apparaissent à intervalle régulier vous énerve et il est difficile de s’en débarrasser car il faut pour cela pouvoir identifier l’application qui les diffuse. Elles peuvent venir de Angry Birds HD ou d’une application au nom imprononçable qui se fait passer pour une application système.

Il existe également de fausses applications qui ne font rien du tout (rien de bien ou de mal), mais qui sont vendues pour un montant modeste. Certaines de ces coquilles vides sont placées dans les sections payantes des magasins d’application. Citons par exemple le cas d’une application qui promet de vous rendre riche mais qui en réalité ne fait qu’afficher l’image d’un diamant sur le smartphone. D’autres prétendent être une application utile, par exemple un antivirus qui requiert un micro-paiement de l’utilisateur pour offrir une protection contre les Trojans qui ont prétendument envahis l’appareil.

Argent du téléphone

L’envoi de SMS vers un numéro surfacturé est une méthode classique d’obtention d’un revenu illicite à l’aide de malwares pour appareils mobiles. Le Trojan qui a infecté le téléphone se contente d’envoyer des SMS payants et vide ainsi votre compte de téléphonie mobile. L’opérateur de téléphonie mobile transfert l’argent depuis votre compte vers le compte du locataire du numéro (l’individu malintentionné) sans soupçonner le moindre méfait car l’envoi de SMS à un numéro surfacturé demeure une méthode fréquente de paiement de services sur Internet.

Les individus malintentionnés peuvent également gagner de l’argent sur le dos des propriétaires des téléphones infectés en volant des données de valeur. Votre répertoire, vos SMS et votre courrier peuvent contenir des informations très intéressantes. Dans le meilleur des cas, vos données serviront uniquement à enrichir les bases de diffusion de spam et vos contacts seront submergés de publicités et de liens malveillants. Et si, par exemple, vous avez envoyé ou reçu par courrier les informations d’identification pour l’administration d’un site quelconque et que vous n’avez pas pris la peine de les modifier, vous pouvez être certain que les individus malintentionnés sauront reconnaître la valeur de ces infos et intègreront le site dans la famille.

Smartphone ou porte-monnaie ?

L’apparition des Trojans d’escroquerie, tellement répandus sur les ordinateurs, est un phénomène relativement récent sur les appareils mobiles. Le modus operandi est simple : le malware qui se trouve sur votre appareil mobile affiche à l’écran une image contenant des menaces et une demande de rançon. L’appareil devient inutilisable. La seule action possible est la saisie d’un code qu’on vous promet d’envoyer dès que la somme exigée aura été payée.

Message affiché par ce malware d’escroquerie : « Votre téléphone a été bloqué car vous avez consulté du contenu pornographique illégal (pédophilie, zoophilie, etc.) Toutes les photos et vidéos sur votre appareil ont été saisies pour enquête. Si vous souhaitez déverrouiller votre appareil et effacer ces données, payez l’amende de 1 000 roubles dans les 24 heures. Pour ce faire, saisissez le code XXXX sur le terminal de paiement le plus proche. Attention ! Toute tentative d’éviter de payer l’amende entraînera la divulgation publique des données. »

La suppression du Trojan requiert la réinitialisation totale des paramètres et la suppression du contenu de la mémoire flash de l’appareil. La perte des données stockées sur l’appareil serait une telle catastrophe pour certains utilisateurs qu’ils préfèrent payer, mais il ne faut pas oublier que les individus malintentionnés n’envoient pas toujours le code malveillant même après avoir reçu l’argent.

Clé d’accès à votre compte en banque

Toutes les méthodes que nous venons de citer ne sont que des gamineries par rapport à une pratique relativement récente d’obtention de revenu via des malwares pour appareils mobiles. Au cours de ces dernières années, de plus en plus de banques ont proposés à leurs clients de réaliser toute une série de transactions bancaires à l’aide de leur appareil mobile. Toute banque qui se respecte s’est empressée de développer une application qui permettrait aux clients de gérer leur argent depuis leur smartphone ou a pour le moins introduit un service de banque par SMS.

Par conséquent, le smartphone est devenu bien souvent le sésame du compte ou des comptes en banque de l’utilisateur. On voit tout de suite que le potentiel de revenu n’a rien à voir avec celui des méthodes classiques et c’est cela qui a motivé les individus malintentionnés à organiser de plus en plus d’attaques contre les services bancaires par téléphone mobile.

Les statistiques illustrent clairement l’intérêt des auteurs de virus pour nos comptes en banque. Alors qu’au début de l’année 2013, nous ne comptions même pas une centaine de Trojan-Bankers dans notre collection, ils étaient plus de 13 000 en octobre 2014.

Nombre de bankers pour appareils mobiles détectés

Cette catégorie de malware gagne en popularité à travers le monde, et elle a littéralement explosé en Russie. C’est en Russie que les auteurs de virus testent leurs créations avant de les diffuser dans d’autres pays.

Répartition géographique des menaces contre les transactions bancaires par téléphone mobile, janvier – octobre 2014
(nombre de tentatives d’installation de Trojan-Bankers pour appareils mobiles)

La manière la plus simple d’obtenir l’argent des utilisateurs consiste à exploiter les SMS de transactions bancaires. Il n’est pas nécessaire de développer de nouveaux outils : les Trojans par SMS traditionnels sont parfaitement adaptés à la tâche. Le fait est que de nombreuses banques considèrent les téléphones de leurs clients comme des environnements de confiance capables d’exécuter des instructions envoyées par SMS sans aucune authentification complémentaire. L’argent débité du compte en banque du client peut être transféré à son compte de téléphonie mobile ou à celui d’une autre personne. Les individus exploitent cette possibilité et envoient les SMS correspondants afin de transférer l’argent depuis le compte des victimes vers leurs propres comptes. Une fois qu’ils sont en possession de l’argent, ils peuvent facilement l’utiliser grâce au développement des différentes plateformes de paiement mobile.

Souvent, les Trojans bancaires travaillent en équipe avec des Trojans pour ordinateur, par exemple Faketoken. Il suffit de télécharger le banker sur l’ordinateur et d’attendre que l’utilisateur ouvre une session dans le service de banque électronique pour que le malware s’active et affiche un message qui indique à l’utilisateur qu’il doit absolument télécharger une application Android indispensable pour confirmer la transaction en toute sécurité. L’utilisateur suit les recommandations et installe Faketoken sur son smartphone. Ensuite, ce n’est plus qu’une question de technique : le ver sur l’ordinateur vole le nom d’utilisateur et le mot de passe, ce qui permet aux individus malintentionnés d’accéder au compte en banque de la victime. Ils exécutent des transactions et Faketoken intercepte le code de confirmation à usage unique (mTAN) envoyé par la banque par SMS. Le bénéficiaire de ce virement réalisé depuis le compte de la victime est un certain Vassily P. qui récupère directement l’argent via un distributeur automatique de billets. Nous avons enregistré des attaques impliquant ce malware contre des utilisateurs répartis dans 55 pays dont l’Allemagne, la Suède, la France, l’Italie, la Grande-Bretagne et les Etats-Unis.

La troisième méthode repose sur l’utilisation de Trojans bancaires pour appareil mobiles indépendants qui sont capables de se présenter sous les traits d’une application pour réaliser des transactions bancaires mobiles ou qui substituent simplement l’interface de l’application bancaire. Le Trojan obtient le nom d’utilisateur et le mot de passe saisis par l’utilisateur et il les transmet à son centre de commande. L’individu malintentionné réalise la transaction à l’aide des données interceptées. C’est ainsi que fonctionne Svpeng par exemple. Ce Trojan pour appareil mobile ouvre une fenêtre qui ressemble à l’interface des applications légitimes des plus grandes banques russes et ukrainiennes.

Fenêtre de phishing qui imite l’application originale de la banque

Grâce à ces programmes, les individus malintentionnés sont capables de vous voler en quelques instants toutes vos économies en vidant vos comptes et en fermant vos comptes à terme. Ils peuvent également vous plonger dans la dette en sélectionnant la limite de crédit.

Ne soyez pas la cause de votre propre perte

Le pourcentage de malwares parmi les applications que les utilisateurs installent varie en fonction des pays. Voici les indices de quelques pays pour la période comprise entre janvier et octobre 2014 (sur la base des données obtenues via le service KSN de Kaspersky Lab) :

Vietnam 2,34% Suisse 0,36%
Pologne 1,88% Inde 0,34%
République tchèque 1,02% Canada 0,23%
France 0,84% Allemagne 0,18%
Belgique 0,74% Brésil 0,17%
Chine 0,73% Italie 0,09%
Ukraine 0,70% Autriche 0,07%
Russie 0,69% États-Unis 0,07%
Mexique 0,62% Hong Kong 0,05%
Espagne 0,54% Nouvelle-Zélande 0,05%
Biélorussie 0,50% Norvège 0,04%
Iran 0,38% Japon 0,01%

Il est intéressant de savoir qu’il n’est pas compliqué de se protéger contre ces menaces mobiles complexes. Les développeurs de plateformes mobiles ont bien prêté attention à la sécurité et le maillon le plus faible de la protection est devenu l’utilisateur. C’est un bien et c’est un mal.  C’est un mal car la majorité des utilisateurs ne se soucie pas vraiment de sa sécurité. C’est un bien car il suffit de prêter attention à quelques conseils élémentaires pour éviter des conséquences désagréables.

Voici quelques règles à suivre.

  • N’utilisez pas un smartphone jailbreaké. Il est vrai qu’un iPhone jailbreaké ou qu’un appareil Android en accès root offrent de plus grandes possibilités d’interaction avec l’appareil, mais cette plus grande liberté est également accessible aux individus malintentionnés.
  • Sur Android, désactivez la possibilité d’installer des applications depuis des sources qui ne sont pas fiables.
  • Installez une application antivirus pour appareils mobiles qui pourra analyser l’application lors de l’installation.
  • Evitez de cliquer sur les liens dans les SMS, même si ces messages proviennent de personnes que vous connaissez.
  • Si vous avez cliqué sur le lien, refusez toute offre de téléchargement ou d’installation.
  • Actualisez vos applications uniquement via le téléchargement des mises à jour depuis les magasins officiels et non pas depuis des sites quelconques.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *